LINUX.ORG.RU
ФорумAdmin

Хакнули сервер, не зна что делать

 , ,


0

4

Взломали сервет по CentOS 6. Сейчас сервер активно рассылает покеты по другим серверам. Ни одна утилита не показывает какой процес занимается рассылкой. Только iftop показывает соединение с удаленным ip по tcpdump можно увидить порт. Борюсь закрывая исходящий порт или исходящий доступ к ip. Но это временно. Появляются новые «жертвы». Подскажите как это можно прикрыть, хотя бы на время пока инфа будет переноситься на другой сервер?



Последнее исправление: alivecor (всего исправлений: 1)

В iptables запрети всё исходящее, кроме того, что нужно. Затем полный реинсталл. Хотя я как-то лечил, но если есть возможность, лучше убить и переставить.

Black_Shadow ★★★★★
()

Можно ли временно сервер пустить через промежуточный маршрутизатор?

Deathstalker ★★★★★
()

А что именно рассылает-то ?

AS ★★★★★
()

мало информации для того, что бы начать давать дельные советы.

Расскажи какие роли сервер отрабатывал?

MikeDM ★★★★★
()
Ответ на: комментарий от MikeDM

На сервере крутиться php приложение на apache2 + база mysql. Ломанули подобрав пароль к root. Проблему обнаружали когда появились проблемы с дотупностью сервера, оказалось что с сервером все нормально, сетевой интерфейс перегружен. Когда я добрался до сервера нашел скрипт в crontab запускающий модифицированный libgcc.so созданый примерно в то время как начались проблемы. Сейчас сервер переодически начинает отправлять запросы на другом серверам обьемом от 20 до 500 mb это видно через iftop. Предложил начальству закрыть все исходящие порты, пока думает.

alivecor
() автор топика
Ответ на: комментарий от alivecor

подобрали рутовый пасс? он простой что ли был? а почему по ssh можно было руту цепляться?

поздно конечно кулаками махать. сервер в реинстал, срочно.

MikeDM ★★★★★
()
Ответ на: комментарий от MikeDM

Сервер заказчиков,о секьюрности они не парялись. Боюсь что нас хостер быстрей забанит, чем мы перенесем приложение.

alivecor
() автор топика

Общеупотребимый набор утилит типа ps, ls, netstat могли подменить, поэтому на их вывод особо не полагайся.

Black_Shadow ★★★★★
()
Ответ на: комментарий от alivecor

Предложил начальству закрыть все исходящие порты, пока думает.

Не думать, а трясти надо. Провайдер отрубит доступ, и будет прав.

CentOS

Вообще, rpm умеет показывать повреждённые пакеты. Следует начать, хотябы, с проверки пакетов, где контрольные суммы не совпадают, и поиска файлов, которые никакому пакету не принадлежат. Пакеты с повреждёнными файлами переставить.

Разумеется, это не панацея, так как и rpm может быть подменён, и база rpm корректно модифицирована, но делать надо хоть что-то уже.

AS ★★★★★
()

поздно пить боржоми. реинстал + последний бекап всего ценного

last_unit
()
Ответ на: комментарий от AS

Пакеты с повреждёнными файлами переставить.

Ещё может быть так, что что-то нужное через make install поставлено и попадётся не в тему, но тут уж как сервер настраивали.

AS ★★★★★
()
Ответ на: комментарий от alivecor

никак, возможно подозрительный демон висит в процессах

для сетевой активности попробуй: jnettop -i <интерфейс>, iptraf -i <интерфейс>, vnstat --live, netstat -ant.

dormeur86 ★★★★
()
Последнее исправление: dormeur86 (всего исправлений: 1)
Ответ на: комментарий от AS

Вообще, rpm умеет показывать повреждённые пакеты.

rpm -Va

dormeur86 ★★★★
()

При проверке не ограничивайся только системой. Иногда бывает что систему не трогают а модифицируют только веб приложение. Ведь если заметишь спам, то перенесешь бяку на другой хост при бекапе :)

iron ★★★★★
()
Ответ на: комментарий от alivecor

Сервер заказчиков,о секьюрности они не парялись.

теперь есть смысл париться.

MikeDM ★★★★★
()

Сделай резервную копию. Скопируй список установленных пакетов, установи эти пакеты в специальный каталог (у apt или dpkg есть такая опция) и сравни файлы.

rezedent12 ☆☆☆
()

Ну так слей базу и файлы, переставь дистр и залей обратно, это не Gentoo ставить же. Работы на пол часа.

invokercd ★★★★
()

chkrootkit и rkhunter пробовал?

Komintern ★★★★★
()
Ответ на: комментарий от init_

Сервер заблокировал провайдер после того, как он несанкционированно поменял себе IP. После этого приложение срочно перенесли на другой сервер, а этот отключили. Как оказалось, на практике здесь особо нечего сделать нельзя было. Всем спасибо.

alivecor
() автор топика
Ответ на: комментарий от MikeDM

подобрали рутовый пасс? он простой что ли был?

windows+putty→profit

а почему по ssh можно было руту цепляться?

а по дефолту.

emulek
()
Ответ на: комментарий от MikeDM

святой коннектий ... как страшно жить.

авторизоваться по ключам, хороший тон.

да, я знаю. И про порт знаю, и про PermitRootLogin тоже. Но 95% идиотов не в курсе. Такие дела.

emulek
()
Ответ на: комментарий от emulek

Ты это ТСу рассказывай, я руткит лечил руками на живой системе. Помимо chkrootkit ещё rkhunter использовал. Но если есть возможность переставить - лучше переставить.

Black_Shadow ★★★★★
()
Последнее исправление: Black_Shadow (всего исправлений: 1)
Ответ на: комментарий от Black_Shadow

Ты это ТСу рассказывай

для него и написано.

извини за невольный каст.

emulek
()
Ответ на: комментарий от MikeDM

пока есть эти 95% у нас всегда будет работа, хлеб, икорка итп.

они _всегда_ будут.

emulek
()

Интересно. А вот если найти процесс паразит прибить и переустановить все бинарники, поможет?

FIL ★★★★
()
Ответ на: комментарий от edigaryev

пароль обычно клавиатурный шпион выхватывает.

MikeDM ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.