LINUX.ORG.RU
ФорумAdmin

Debian: взломали

 , , ,


1

5

Я не профи, просто хобби. Стоит Debian последний, апдейты делал, fail2ban настроенный. FTP-выключен, SQL выключен. И всё равно одно и тоже: опять руткит. Сейчас выключил, почту перевел на корпор. mail.ru

Шла рассылка спама (или ещё чего).

По: find /boot /usr/bin /bin /sbin /etc/cron* -mtime -30 выдало:

/boot                               /usr/bin/c89   
/boot/initrd.img-3.2.0-4-amd64      /usr/bin/fakeroot
/boot/grub                          /usr/bin/c99
/boot/grub/menu.lst~                /usr/bin/c++
/boot/grub/menu.lst                 /bin
/usr/bin                            /sbin
/usr/bin/cc                         /etc/cron.daily

Кто-спрашивал про крон, вот: cat: /etc/cron.daily: Is a directory

ls

0anacron  apt       bsdmainutils  logrotate  mlocate  popularity-contest
apache2   aptitude  dpkg          man-db     passwd

Сервер на SSD, быстро включается-выключается. Хочется понять откуда и как. Стоит ISPManager Lite 4.4.10.23 (последн)

Вопросы: 1) Как узнать как? 2) Может перейти на FreeBSD? Дебиан мне показалась такая приятная, но по факту читая о ней, не советуют.

А что у тебя там было? Если какой-нибудь дырявый скрипт на пыхе, например, то bsd тебя не спасёт.

Deleted
()
Ответ на: комментарий от Gotf

это конечно вариант, но слишком круто для сервера, у которого максимум 50 посетителей в сутки. Я думал сам. Кроме того, когда-то я уже арендовал сервер «с администратором», и всё было также: руткит очень быстро.

AndreyE1
() автор топика
Ответ на: комментарий от AndreyE1

А на десктопе что? У самого троянов нет никаких?

Deleted
()
Ответ на: комментарий от AndreyE1

Ну тогда остаётся только попытаться использовать свой мозг по назначению. Или хотя бы удалить ISPManager.

Gotf ★★★
()

chkrootkit пробовал? Точно не помню, как звалась утилита, но может помочь.

DeadEye ★★★★★
()

ISPManager Lite 4.4.10.23 (последн)

Начни с этого

Turbid ★★★★★
()

1) Как узнать как?
ISPManager Lite 4.4.10.23

This.

Вообще, тебе неплохо тут вывести список всего, что смотрим наружу netstat -tulpan, а то вангующих будет больше тыщи.

2) Может перейти на FreeBSD?

И как она тебя спасет? Сплойты под ядро фряхи тоже пишутся. Вобщем, смотри какие сервисы и что на них крутится. Далее смотри повторяющиеся пароли в БД/файлах vs /etc/shadow (/etc/passwd). Плюс, смотри права на файлы и директории с приватными данными.

Шла рассылка спама (или ещё чего).

Из всего, что ты написал, я вижу, что добрались до непривилегированного аккаунта. Так, что ничего не сломали. Если бы тебя реально хакнули, то смотреть надо на размер + чексуммы /sbin/sshd, т.к. это очень лакомый кусок: сервис всегда работает, легко патчится на создание бэкдоров и часто о нем забывают.

gh0stwizard ★★★★★
()

Дебиан мне показалась такая приятная, но по факту читая о ней, не советуют.

Русский не родной?

greenman ★★★★★
()
Ответ на: комментарий от gh0stwizard

и продолжение:

tcp        0      0 127.0.0.1:46154         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46165         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46153         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46147         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46152         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46161         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46155         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46163         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46149         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46156         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46160         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46158         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46162         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46166         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46150         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46164         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46148         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46146         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp        0      0 127.0.0.1:46159         127.0.0.1:12301         TIME_WAIT                                                                                                                                                                                                  -
tcp6       0      0 :::22                   :::*                    LISTEN                                                                                                                                                                                                     2378/sshd
tcp6       0      0 :::25                   :::*                    LISTEN                                                                                                                                                                                                     2298/master
tcp6       0      0 :::443                  :::*                    LISTEN                                                                                                                                                                                                     1959/apache2
tcp6       0      0 :::80                   :::*                    LISTEN                                                                                                                                                                                                     1959/apache2
tcp6       0      0 :::465                  :::*                    LISTEN                                                                                                                                                                                                     2298/master
udp        0      0 0.0.0.0:123             0.0.0.0:*                                                                                                                                                                                                                          1599/ntpdate
udp6       0      0 :::123                  :::*                                                                                                                                                                                                                               1599/ntpdate

AndreyE1
() автор топика
Ответ на: комментарий от gh0stwizard

fakeroot и менюшка есть на сервере, см. в 1ом сообщении выше

AndreyE1
() автор топика
Ответ на: комментарий от AndreyE1

А теперь загугли как часто линуксы ломают через системные сервисы, и как часто через подобные панельки, управляторы, вордпрессы и прочее торчащее в веб говно.

entefeed ☆☆☆
()
Ответ на: комментарий от entefeed

ну я ж как лучше хотел: лицензия, коммерческий продукт :(

AndreyE1
() автор топика
Ответ на: комментарий от AndreyE1

Ну, ntp следует закрывать через iptables (там и ддос, и при желании выполнение кода). Остается еще sshd + apache. Ломануть ssh можно через подбор паролей. А на apache надо смотреть все, что крутится: php, perl/cgi, ruby и т.д. и т.п. Поскольку явный признак это спам, то, скорей всего, рассылка идет через apache, т.к. часто сервисам нужно иметь возможность слать письма с уведомлениями. См. конфиги того, что крутится под apache и где прописаны настройки на почтовик. Очевидно, что первым надо смотреть твой ISPManager.

gh0stwizard ★★★★★
()

по netstat:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      2378/sshd
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      2298/master
tcp        0      0 Сервер:1500    0.0.0.0:*               LISTEN      2910/ihttpd
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      2143/dovecot
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      2143/dovecot
tcp        0      0 127.0.0.1:12301         0.0.0.0:*               LISTEN      2198/opendkim
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      2143/dovecot
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      2143/dovecot
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      2298/master
tcp        0    464 СЕРВЕР:22      МОЙ IP:64808     ESTABLISHED 2413/2
tcp6       0      0 :::22                   :::*                    LISTEN      2378/sshd
tcp6       0      0 :::25                   :::*                    LISTEN      2298/master
tcp6       0      0 :::443                  :::*                    LISTEN      1959/apache2
tcp6       0      0 :::80                   :::*                    LISTEN      1959/apache2
tcp6       0      0 :::465                  :::*                    LISTEN      2298/master 

AndreyE1
() автор топика

Debian
fail2ban
FTP-выключен,
mail.ru

Итак, нам стоит решить, кто из них тянет команду ко дну. Кто не успевает вовремя отвечать на запросы? Кто не соответствует суровым требованиям коллектива? Кто Самое Слабое Звено?

darkenshvein ★★★★★
()

Пароли. Раз. ISPManager выкинь сразу. Два. Ну и ещё надо смотреть. Контакты в профиле, могу посмотреть.

turtle_bazon ★★★★★
()

не советуют.

Я тоже не советую, ставь венду

invokercd ★★★★
()
Ответ на: комментарий от AndreyE1

чистый html
максимум 50 посетителей в сутки

Почему не шаред хостинг?

MrClon ★★★★★
()

2) Может перейти на FreeBSD? Дебиан мне показалась такая приятная, но по факту читая о ней, не советуют.

Узкое место тут не дебиан, а его администратор (извини). Переходи хоть на redhat, хоть на netbsd, делу это не поможет.
И да, в любом случае ты найдёшь кого-то кто скажет «что-то_что_ты_используешь решето взламываемое любым школьником, переходи на что-то_что_использую_я».

MrClon ★★★★★
()

ISPManager

для чего этот треш нужен? Админю серваки без подобного треша, на деревянном и генте — всё тип-топ.

redhat
()

Почистить платформу для запуска putty.exe и totalcmd.exe

steemandlinux ★★★★★
()

Возможно, тебя спасет ossec

andrew667 ★★★★★
()

Шла рассылка спама

Опенрелей?

anonymous
()

Шла рассылка спама

Логи почтового сервера во время рассылки смотри. Вполне возможно, что просто у кого-то из твоих юзверей увели пароль и теперь от его имени спамят.

ISPManager Lite 4.4.10.23 (последн)

Удалить.

Как узнать как?

Выше уже советовали разные утилиты, от себя добавлю только рекомендацию внимательно посмотреть всё те же логи(кто, когда логинился на сервер, подозрительные ошибки и прочее). Плюс провериться rkhunter'ом можно.

Может перейти на FreeBSD?

Взламывают не ядро и не базовую оснастку. Взламывают сайтики и сервисы(реже). А они что в линуксах, что во фряхах одни и те же.

Дебиан мне показалась такая приятная, но по факту читая о ней, не советуют.

Если ты сам собираешься админить это дальше, то и выбирать тебе. У меня вон тоже товарищ один наслушался советчиков, снёс дебиан со своего сервера и поставил арч. До сих пор стебусь с него периодически, когда прибегает с очередными вопросами и проблемами. ;)

shell-script ★★★★★
()
Ответ на: комментарий от AndreyE1

С какой целью на сервере продолжает висеть postfix и dovecot, если почта убрана? И вобще, с какой целью в инет откывался imap и pop3? Там ведь пароли могут передаваться в открытом виде. У вас что, эти 50 человек подключались из дома к серверу для забора почты напрямую без VPN?

Почему ISPManager до сих пор не отключен или хотя бы не прикрыт iptables, чтобы к нему можно было подключаться только с вашего IP-адреса? На ЛОРе звездатые читают удалённые коменты, так что ip сервера вы спалили, закрывайтесь iptables'ом.

mky ★★★★★
()
Ответ на: комментарий от mky

ISP закрыл, pop3 я думал норм будет, для авторизации MD5 использую, я думал это безопасно!? а как IMAP отключить? Он вообще не используется.

AndreyE1
() автор топика
Ответ на: комментарий от MrClon

закрыл ISP, только с моего IP теперь можно. Надеюсь это поможет. Может можно его выключать и включать через ssh?

AndreyE1
() автор топика
Ответ на: комментарий от AndreyE1

Если mysql не будет доступен по сети то то не должно сильно помешать.
Другое дело что нафиг тебе сдался Снорт? Не усложняй. Сейчас ты не можешь сам разобраться даже с вебсервером без костылей вроде ISP, добавив ещё больше ещё более навороченного софта ты просто добавишь ещё больше способов выстрелить себе в ногу.

И ты так и не ответил почему не шаред хостинг? Зачем придумывать себе трудности?

MrClon ★★★★★
()

Одному мне кажется, что предоставленных данных недостаточно что-бы понять что это руткит. Единственное, что вызывает подозрение — /boot/grub/menu.lst~

А так то да, конечно, 146% руткит ISP УДОЙЛЯЙ

greek_31 ★★
()
Ответ на: комментарий от edigaryev

Это подозрительно, потому что я не понимаю зачем их редактировать вручную в Debian. Может ОП просветит.

greek_31 ★★
()
Ответ на: комментарий от AndreyE1

а как IMAP отключить?

В ″/etc/dovecot/dovecot.conf″ убрать из строки ″protocols″.

pop3 я думал норм будет, для авторизации MD5 использую

По поводу pop3 я не понял, им пользуетесь только вы или ещё кто-то? Если только вы, то это одно, а если разные люди, с разных компов, то они могли забыть нужные галочки в настройке и их pop3-клиент и он может попытаться подключиться с открытым паролем.

mky ★★★★★
()
Ответ на: комментарий от MrClon

Почему не шаред? Я 5 лет скитался по разным сервакам виртуальным. Это просто шлак всегда и во всех случаях: скорость крайне низкая. А их почтовые серваки теряют почту, долго доставляют. И очень частые падения. За 5 баксов дигиталОушн падает раз в 3 месяца, почта мгновенная и ни разу не терялись письма (ну кроме того раза когда слетел dkim на ДНС). Мне проверили сервак, короче взлома не было. Паника ложная. Осталось настроить по вашим советам, чтобы меньше паниковать в будущем :)

AndreyE1
() автор топика
Ответ на: комментарий от mky

а как IMAP отключить?

В ″/etc/dovecot/dovecot.conf″ убрать из строки ″protocols″.

Я и до этого пробовал, поэтому и спросил. Там такой строки вообще нет.

Клиенты я настраиваю, поэтому галочки стоят. Но какие нужны? У меня стоит через MD5 - норм?

AndreyE1
() автор топика
Ответ на: комментарий от AndreyE1

Моё скромное мнение: POP3 - на свалку, IMAP+SSL(TLS) - для почты, HTTPS - для сайтов, ISPManager - выпилить и зачистить.

ну я ж как лучше хотел: лицензия, коммерческий продукт :(

А надо было хотеть знаний, чтобы сделать самому, либо денег для оплаты стороннего специалиста, извини за прямоту.

dhameoelin ★★★★★
()
Ответ на: комментарий от MrClon

Где-же ты такие шареды находил.

Все, начиная от бренд-неймов, закачнивая всеми другими. И по 1000р (это ещё по старым ценам) и по 500, всё одно и тоже. С администраторами и без - толку нуль.

AndreyE1
() автор топика
Ответ на: комментарий от dhameoelin

извини за прямоту

Заплатить можно было бы, я не жадный - честно. Но откуда тогда у меня возмуться знания? Каждый раз искать специалиста... И потом, у меня html сайт (ISP это конечно не html) и почта, и всё. Никаких базданных и тп и тд....

IMAP+SSL(TLS)= при IMAP первый прочитывающий новое письмо стирает его с сервака вроде, не? Или можно сделать так, чтобы письмо как «новое» появлялась у одного клиента (на одном и том же адресе почты), а у другого просто появлялось, но не как новое? Ближе всего к этому получилось настроить на pop. Что касается SSL - то я так понял надо брать 256бит сертификат и выше, а они не такие уж дешевые (а некоторые стоят слишком много).

AndreyE1
() автор топика
Ответ на: комментарий от AndreyE1

Какие 1000? Какие 500? Какие администраторы? Я о шаред-хостинге говорю, а не о VPS. Об обычном веб-хостинге короче.
Там цены 100 - 300 руб в среднем. Работают вполне стабильно и вполне быстро. Почта может у кого и не очень хорошая, но зачем ей пользоваться если есть почта для домена от гуглояндексов.

MrClon ★★★★★
()
Ответ на: комментарий от AndreyE1

Пишу с мобилы, так что опечатки могут быть...

Про заплатить - можно дрговориться так, что спец объяснит на пальцах, что он сделал. Все зависит от условий договора.

Про знания - учиться на боевом сервере - к трате денег. Примета такая.

Про IMAP - ты путаешь с POP3. IMAP не скачивает письма, читай описание протокола.

Про SSL - а ты что хотел? Цены, кстати, очень разные и зависят от продавца. Можно и халяву найти для личного пользования.

dhameoelin ★★★★★
()
Ответ на: комментарий от dhameoelin

В общем и правда, наверное, стоит найти «спеца», чтобы поднял всё с нуля, в том объеме, какой нужен и всё объяснил... заодно как обучение сойдёт

AndreyE1
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.