Взломали сервер FC7, что делать?

> файл /boot/grub/menu.lst содержал команду установки FC9 с удаленного сервера

послушай умных людей

Олсо не забывай что ты мог поиметь руткит

Хоть бы конфиг iptables скинул, что ли ...

через пару недель эти ребята что тебя сломали, возьмут пефка и апдейты для твоего сервера, и будут работать за тебя, а ты пойдешь доски на завод складывать.

Блин, хакеры какие пошли. Системы обновляют.

Возможно, их руткит не работает на старых системах и им пришлось её обновлять...

В общем, у тебя старая ось с кучей дыр. Например, в одном ядре только дыры 3-4 критических залатали со времени выхода fc7. Поэтому забей и переставляй всё с нуля.

А времени у всех не хватает, но это надо делать чтобы потом не было мучительно больно. Я свой сервер два месяца перенастраивал. И ничего, сделал. Пока настраивал заново старая ось в виртуалке крутилась.

ИМХО, сервер и Fedora - это несовместимые понятия. Ну и SELinux, конечно, был отрублен?

Я посоветовал бы поставить CentOS вместо Fedora и разобраться с настройкой SELinux.

Буду ставить CentOS + ISPconfig. SElinux разбираться.... не хватит ни сил не времени, лучше тогда сразу Windows-server поставить. Возможно Windows-server более защищенный чем Linux (знакомы поклонники MS пока не встречались со взломом). Обидно что никто не дал толковых советов, или линк, описывающих порядок операций, позволяющих выяснить каким образом была взломана система.

А вы считаете это тривиальной задачей? Которая решается по одному хауту, как настройка сети? Исходя из ваших предыдущих слов, возможно вам действительно стоит поставить windows сервер, чтобы своим примером не делать плохой рекламы linux.

>Возможно Windows-server более защищенный чем Linux

возможно ты пытался кого-то задеть, но специвлист, даже не думает о фразах типа: "защищенный виндоус". Ставь виндоус, раз рекомендуют, разницы для тебя нет, а ответственность свалишь на других :)

> знакомы поклонники MS пока не встречались со взломом

Просто твои знакомые поклонники MS знают, что от злых хакеров и вирусов на 99% помогает своевременное обновление системы. Любой.

> Обидно что никто не дал толковых советов, или линк, описывающих порядок операций, позволяющих выяснить каким образом была взломана система.

Смотреть содержимое /var/log на предмет аномальной активности. Хотя я не удивлюсь, если у тебя пароль у root'а 123, ему разрешён доступ по ssh и sshd запущен =).

Offtopic

Я никого не пытался задеть, высказал свое мнение по связке Linux+SELinux. Написал что поставлю CentOS+ISPconfig, который идет без SELinux -- наврено из-за сложности настроек SELinux.

К сожалению толковых советов, не получил.

Кстате я где то в инете видел простенькое описание как поставить
[LAN 10.10.10.0/24]<-->{10.10.10.ISP}[MY-Gateway IP-the same as ISP-provider]<-->{10.10.10.ISP}[ISP-provider ]<--->INTERNET

MY-Gateway настроен таким образом что пользователь не видит что между ним и гатеваем провайдера стоит промежуточный. traceroute -- так же не выводит инфу по такому промежуточному роутеру.

Не подскажите адресок?

Пароль рута был более 16 символов.

Обновление пакетов собранных согласно ISPCоnfig не производилось.

Сама система обновлялась yum (мне так кажется, наверно года 2 назад настраивал).

Беглый просмотр /var/log/messages не дал явных следов взлома.

rpm -Va -- тоже ничего подозрительного не дало.

PS
если что то пишите, то пожалуйста поставьте себя на мое место, и подумайте как Вам бы понравились читать некоторые коменты. Обид стараюсь на эти коменты не держать, хотя осадок есть.... Наверно большинство таких коментов писали молодые люди, с маленьким жизненным опытом.

> Сама система обновлялась yum (мне так кажется, наверно года 2 назад настраивал).

Я правильно понял, что ты два года назад всё поставил, настроил и забыл? Просто yum сам по себе ничего не обновляет, его для этого надо запускать. Даже если засунуть запуск yum'а в crontab (что на самом деле лучше не делать), обновлённые сервисы всё равно надо как-то перезапускать, иначе файлы на диске обновятся, а сервис, висящий в памяти, так и останется старой версии.

Топикстартеру рекомендую пойти в ученики к более матерому сисадмину, сначала будешь принеси подай, потом дадут какой нибудь сторонний сервачек под присмотром старшего админа, позже когда заматереешь, тебя посвятят в старшие админы итп. итд.

с нуля мало кто разбирается с линуксом, либо очень долго постигают методом проб и ошибок.

Ты не мог обновить федору потому что поддержка fc7 c 2008–06–13 прекращена.

Ну а на счёт обид тут всё просто. С одной стороны сравнением с виндами ты задел чувства линуксоидов, с другой вопросы ты задаёшь такие что парой строк тебе не ответишь.

Посмотри логи если они остались. Только если хацкеры рута получили то логи они могли и затереть и подредактировать.

Могли через сайт какой-нить взломать. Получить шелл на сервере а потом поднять привилегии.

Так и было! Настроил и забыл. К сожалению не страдаю садо-мазохизмом переинсталировать сервера каждый день. Если я yum настраивал, то конечно прописовал в конфиге демона соответсвующии параметры. Сам сервер конечно перестартовывал... ну от силы 2-3 мес без перестарта.

Есть возможность определить это взлом через
Secondary-DNS, Secondary-mail-сервер, или другие службы?
Если до, то куда надо смотреть? какие файлы проверить?


Изменение файла /grub/menu.lst и перезпуск сервера одназначно свидетельствуют о том что хакер имел через SSH протокол доступ в систему как роот?

Как заблокировать IP идущие от анонимизера tor-exit..... ?

О чем может свидетельствовать настоичивость хакера upgrade FC9, а сегодня до FC8?

Нет ни каких других вариантов отличных от true_admin что у них нет руткитов на старую FC7?

Заранее спасибо за толковые советы и конечно ссылки.

Боюсь что логи подредактированы, так же как и хистори.

Может кто нибудь скинуть список файлов в которых хакер по неаккуратности мог отсавить следы?

в хомяке, /tmp, /var/tmp, /root, /boot ....

> Так и было! Настроил и забыл. К сожалению не страдаю садо-мазохизмом переинсталировать сервера каждый день.

И не надо переустанавливать всю систему. Надо просто более-менее регулярно обновлять и смотреть за сервером.

> Если я yum настраивал, то конечно прописовал в конфиге демона соответсвующии параметры.

Дак ты скажи как именно его настраивал. Повторяю: yum сам ничего не обновляет, его для этого надо запускать, руками или с помощью каких-либо скриптов автоматизации. Потому вопрос: каким способом ты обновлял софт на сервере?

> Если до, то куда надо смотреть? какие файлы проверить?

Сильно зависит от того, что именно у тебя там было установлено, какой версии и как настроено. Телепатов не бывает.

> Изменение файла /grub/menu.lst и перезпуск сервера одназначно свидетельствуют о том что хакер имел через SSH протокол доступ в систему как роот?

То что он поимел рутовые права - однозначно. А что именно через sshd - не факт. Возможно у тебя там работает ещё какой-нибудь демон с правами рута, доступный из внешней сети и в котором есть дырка. К этой дырке взломщик и нашёл эксплоит.

> О чем может свидетельствовать настоичивость хакера upgrade FC9, а сегодня до FC8?

О том, что он скорее всего не злой и просто предупреждает, что Fedora 7 не поддерживается с середины 2008го года и под неё уже не выходят обновления, даже заплатки для дыр в безопасности. Так что если на твой сервер с F7 набредёт настоящий злоумышленник, то он скорее всего сделает что-то по настоящему плохое. Типа массовой рассылки спама, или кражи ценной информации (если она у тебя есть).

Что-то сплошной бред какой-то. Debian 2 с момента выхода без апгрейдов работает и китайцы так и не смогли подобрать пароли.

>traceroute -- так же не выводит инфу по такому промежуточному роутеру.

надо ttl не менять

>О чем может свидетельствовать настоичивость хакера upgrade FC9, а сегодня до FC8?

кто-то просто тренируется во взломе и не знает что бы с серваком сделать?

Дебиан сделан из того же теста. А то и хуже если вспомнить про то как у них ключи в openssl генерелись.

Все что у меня было установлено на сервере и как описано:
http://www.howtoforge.com/perfect_server_fedora7

Тему про то обновлялась ли система, и каким образом, я отвечу скорее завтра, так как сегодня настраиваю сервак в замен сломаному.

В связи с этим меня интересует устоит ли сервер перед хакером,
если его настраивать согласно инструкциям:
http://www.howtoforge.com/perfect-server-centos-5.3-x86_64-ispconfig-3

ЗЫ
Лучше бы этот хороший хакер написал,
я тебя взломал через такой-то демон....

>>traceroute -- так же не выводит инфу по такому промежуточному роутеру.
>надо ttl не менять

Чуть меня не понял,
например если по простому делать, даже меняя ttl,
команда tracert ххх.ххх.ххх выдаст:
1 MY-GATEWAY
2 ISP-GATEWAY
.
.
6. ххх.ххх.ххх

а надо
1 ISP-GATEWAY
.
.
5. ххх.ххх.ххх

Уловил?

кажется proxyarp надо пользовался.... но как не могу вспомнить, даже ключевые слова!

Мне это надо что бы пользователи как работали так и продолжали работать со своими настройками:
IP, NETMASK, GW: ISP-GW ...
и у них складывалось впечатление что у них прямой доступ к роутеру провайдера интернета. Да и хакер тоже не видел бы что нет изменений в конфигурации сети. Я бы тогда на иптаблах пытался словить его.

> Дебиан сделан из того же теста. А то и хуже если вспомнить про то как у них ключи в openssl генерелись.

мне кажется человек врет ;)

:)

>Лучше бы этот хороший хакер написал,
>я тебя взломал через такой-то демон....

Применительно к такой имперской рухляди, как седьмая федора, подобная информация будет интересна разве что историкам. Ну зачем знать, какие дыры там были? Их уже давно закрыли в поддерживаемых системах. А юзать неподдерживаемую систему - ССЗБ.

>Возможно Windows-server более защищенный чем Linux

Спасибо, поржал :D

Какой из линуксовых дистрибутивов не надо переинсталировать каждые два года?

> Какой из линуксовых дистрибутивов не надо переинсталировать каждые два года?

Любой.

>Из какого места должны расти руки, чтобы линукс не нужно было переставлять каждые два года?

Из плеч. Если у вас они растут из другого места - это ваши половые трудности.

Так как тема переросла в БАЗАР, подведу краткие итоги

1. Никто не дал советов или линков с описанием обнаружения атаки.
Для сервера установленного согласно http://www.howtoforge.com/perfect_server_fedora7
Таким образом по сути дела, администрация для начинающих сводится к словам авось не хакнут... а если хакнули то переустановлю по новой авось не хакнут. В этом форуме нету советов как выявить слабое звено.

2. Никто не подсказал адресок или дал краткий совет как настроить полностью прозрачный роутер, который не показывается при команде tracert и позволяет не изменять настроек TCP/IP на компьютере пользователя с прописанным ISP-провайдера интернета

3. Линукс система которую необходимо переинсталлировать каждые два года, иначе в ней накапливаются дыры, а поддержка дистра прекращается

4. От себя, ставить все желательно из основных RPM, чтобы не парится с обновлением системы команда: yum update. Таким образом при установке сервера не использовать компиляцию исходников (с патчами), иначе придется перекомпилировать пакеты каждый раз, что бы устранить дыри.

5. Развитие линукса показало, что линукс по прежнему имеет недружелюбный интерфейс (как в плане конфигурирования так и в плане озлобленных комментариев самих же линуксоидов). За 20 лет сообщество так и не закончило написание DNS, MAIL, HTTP серверов, которые не содержали бы дырок, хотя сами протоколы уже давно существуют.

Всем удачи, и побольше дружелюбия!
Командная строка должна делать человека более дружелюбным,
а не озлобленным... если такое конечно возможно :)

ЗЫ
Надеюсь что эта тема будет актуальна людям, у которых родилась идея выбрать Linux в качестве почтового сервера. Директорам фирм советую выбирать Windows-администратора, так как больше людей знают Windows, есть техническая поддержка, есть хорошая документация. Маленькие фирмам можно пробовать Linux, но в таком случае экономия на софте может потребовать больших ежемесячных затрат на зарплату профессионального линукс-администратора (в котором последующем вы будете тесно завязаны).

Отдельное спасибо true_admin!

> Таким образом по сути дела, администрация для начинающих сводится к словам авось не хакнут...

все что ты тут и дальше написал - бред, любой распространенный дистрибутив с длительным периодом поддержки имеет security updates, то что тебе лень их ставит - исключительно твои проблемы

> Линукс система которую необходимо переинсталлировать каждые два года, иначе в ней накапливаются дыры, а поддержка дистра прекращается

во-первых федора - один с худших вариантов с точки зрения поддержки, во-вторых обновление от релиза до релиза - не такая уж и сложная вещь, у меня убунту с 7.04 до 9.10 прекрасно апдейтилась

какие претензии вообще к сообществу и линуксу?

FC7 - старый, бесплатный дистрибутив, не включающий в себя техническую поддержку, соответственно все на что можно расчитывать - на себя и на помощь коммьюнити (которое кстати ничем вам не обязано, хотя бы потому что вы ничего для этого коммьюнити не сделали)

нужна поддержка - RHEL , SLES, ALTLinux с талоном техподдержки и т д и т п,
платите денежку - получаете поддержку, а возмущаться и троллить как минимум глупо, а уж тем более рассыпаться в детских угрозах "а я вот уйду от вас на виндос сервер и всем знакомым расскажу"

Ставьте gentoo и не имейте мозг: все обновления производятся плавно, никаких тотальных переустановок системы. Разворачивается удалённо за 5 минут

1. Слабое звено — не обновленная система. Т.е. проблема у вас ДНК, а вовсе не в софте.

2. Оставим этот вопрос специалистам (хаки ARP — не моя специализация).

3. Еще раз поржал, спасибо.
А у нас, между прочим, живет куча серверов на lenny и squeeze, которые начинали в 2005 на sarge — и ничего, живут. Никаких переинсталляций, только обновление софта. А серваки 2007 года на центосе 5, например, будут спокойно жить до 2013 — у редхата шестилетний срок поддержки. Потом, скорее всего, просто обновимся на центос 6 и еще шесть лет отдыхать будем :)

4. Это правильный подход. ./configure && make & make install — детский сад. Смело посылайте на йух того, кто предложит так делать.

5. Да нет. Просто есть понятия «простой интерфейс» и «удобный интерфейс». И чем сложнее задачи, решаемые программным продуктом, тем острее противоречие между этими подходами. Винда отдает предпочтение простоте (тыц-тыц мышкой) в ущерб удобству (логичности, расширяемости, эргономике, автоматизации). Линух — наоборот. Поэтому винда — система для домохозяек, а линух — для людей с IQ>80, способных к обучению.

Насчет ваших рекомендаций — искренне соболезную тем директорам, которые к ним прислушаются ;)

To: всем отписавшимся в этой теме

Развел вас троллик виндузятный:)) Вот и помогай потом людям.

>возмущаться и троллить как минимум глупо, а уж тем более рассыпаться в детских угрозах "а я вот уйду от вас на виндос сервер и всем знакомым расскажу"

Я думаю, будет очень феерично, если он действительно уйдет на виндовс сервер. Естественно, скорее всего в этом случае его поимеют. Причем не добрый приколист, намекающий, что систему неплохо бы и обновить, а бездушный бот, который устроит на его «серваке» склад вареза и десткой порнухи, не говоря уж о рассылке терабайтов спама и (опционально) прокси для атак на другие серваки. Дальше в винду — ближе к суду, как говорит один мой знакомый IT-юрисконсульт :)

Повторюсь еще раз, поставил CentOS 5.3 x86_64.

И сделал ошибку, так как выполнял пункты ispconfig,
который компилит пакеты... кто мне сказал
что такой подход некорректный в этой теме?

Я не виндузятник и не линуксоид, а нормальный человек.

Обновление: demon YUM как правильно заметили не обновлял систему,
так в конфиге yum-update.conf do_update = no