Debian: взломали

А что у тебя там было? Если какой-нибудь дырявый скрипт на пыхе, например, то bsd тебя не спасёт.

Deleted
(27.01.15 19:11:22 MSK)

Ответ на: комментарий от Deleted 27.01.15 19:11:22 MSK

чистый html, как я уверен. Из скриптов - только кнопки гугла, счетчик-метрика яндекса.

AndreyE1
(27.01.15 19:14:03 MSK) автор топика

Хочется понять откуда и как.

Найми системного администратора.

Gotf ★★★
(27.01.15 19:16:10 MSK)

Ответ на: комментарий от Gotf 27.01.15 19:16:10 MSK

это конечно вариант, но слишком круто для сервера, у которого максимум 50 посетителей в сутки. Я думал сам. Кроме того, когда-то я уже арендовал сервер «с администратором», и всё было также: руткит очень быстро.

AndreyE1
(27.01.15 19:21:26 MSK) автор топика

Ответ на: комментарий от AndreyE1 27.01.15 19:14:03 MSK

А на десктопе что? У самого троянов нет никаких?

Deleted
(27.01.15 19:22:39 MSK)

Ссылка

Ответ на: комментарий от AndreyE1 27.01.15 19:21:26 MSK

Ну тогда остаётся только попытаться использовать свой мозг по назначению. Или хотя бы удалить ISPManager.

Gotf ★★★
(27.01.15 19:24:08 MSK)

Ссылка

chkrootkit пробовал? Точно не помню, как звалась утилита, но может помочь.

~~DeadEye~~ ★★★★★
(27.01.15 19:24:53 MSK)

Ссылка

ISPManager Lite 4.4.10.23 (последн)

Начни с этого

Turbid ★★★★★
(27.01.15 19:25:20 MSK)

Ссылка

1) Как узнать как?
ISPManager Lite 4.4.10.23

This.

Вообще, тебе неплохо тут вывести список всего, что смотрим наружу netstat -tulpan, а то вангующих будет больше тыщи.

2) Может перейти на FreeBSD?

И как она тебя спасет? Сплойты под ядро фряхи тоже пишутся. Вобщем, смотри какие сервисы и что на них крутится. Далее смотри повторяющиеся пароли в БД/файлах vs /etc/shadow (/etc/passwd). Плюс, смотри права на файлы и директории с приватными данными.

Шла рассылка спама (или ещё чего).

Из всего, что ты написал, я вижу, что добрались до непривилегированного аккаунта. Так, что ничего не сломали. Если бы тебя реально хакнули, то смотреть надо на размер + чексуммы /sbin/sshd, т.к. это очень лакомый кусок: сервис всегда работает, легко патчится на создание бэкдоров и часто о нем забывают.

~~gh0stwizard~~ ★★★★★
(27.01.15 19:27:26 MSK)

Дебиан мне показалась такая приятная, но по факту читая о ней, не советуют.

Русский не родной?

greenman ★★★★★
(27.01.15 19:28:30 MSK)

Ссылка

ISPManager

А виноват Дебиан, да?

~~entefeed~~ ☆☆☆
(27.01.15 19:28:48 MSK)

Ответ на: комментарий от gh0stwizard 27.01.15 19:27:26 MSK

и продолжение:

tcp        0      0 127.0.0.1:46154 tcp        0      0 127.0.0.1:46165 tcp        0      0 127.0.0.1:46153 tcp        0      0 127.0.0.1:46147 tcp        0      0 127.0.0.1:46152 tcp        0      0 127.0.0.1:46161 tcp        0      0 127.0.0.1:46155 tcp        0      0 127.0.0.1:46163 tcp        0      0 127.0.0.1:46149 tcp        0      0 127.0.0.1:46156 tcp        0      0 127.0.0.1:46160 tcp        0      0 127.0.0.1:46158 tcp        0      0 127.0.0.1:46162 tcp        0      0 127.0.0.1:46166 tcp        0      0 127.0.0.1:46150 tcp        0      0 127.0.0.1:46164 tcp        0      0 127.0.0.1:46148 tcp        0      0 127.0.0.1:46146 tcp        0      0 127.0.0.1:46159 tcp6       0      0 :::22 tcp6       0      0 :::25 tcp6       0      0 :::443 tcp6       0      0 :::80 tcp6       0      0 :::465 udp        0      0 0.0.0.0:123 udp6       0      0 :::123

127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - 127.0.0.1:12301 TIME_WAIT - :::* LISTEN 2378/sshd :::* LISTEN 2298/master :::* LISTEN 1959/apache2 :::* LISTEN 1959/apache2 :::* LISTEN 2298/master 0.0.0.0:* 1599/ntpdate :::* 1599/ntpdate

AndreyE1
(27.01.15 19:30:24 MSK) автор топика

Ответ на: комментарий от entefeed 27.01.15 19:28:48 MSK

я же писал, видел отзывы, в т.ч. здесь что может быть да

AndreyE1
(27.01.15 19:32:21 MSK) автор топика

Ответ на: комментарий от gh0stwizard 27.01.15 19:27:26 MSK

fakeroot и менюшка есть на сервере, см. в 1ом сообщении выше

AndreyE1
(27.01.15 19:34:29 MSK) автор топика

Ссылка

Ответ на: комментарий от AndreyE1 27.01.15 19:32:21 MSK

А теперь загугли как часто линуксы ломают через системные сервисы, и как часто через подобные панельки, управляторы, вордпрессы и прочее торчащее в веб говно.

~~entefeed~~ ☆☆☆
(27.01.15 19:34:49 MSK)

Ответ на: комментарий от AndreyE1 27.01.15 19:14:03 MSK

Стоит ISPManager Lite

ты ответил на свой вопрос

murmur ★
(27.01.15 19:35:35 MSK)

Ссылка

Ответ на: комментарий от entefeed 27.01.15 19:34:49 MSK

ну я ж как лучше хотел: лицензия, коммерческий продукт :(

AndreyE1
(27.01.15 19:35:43 MSK) автор топика

Ссылка

Ответ на: комментарий от AndreyE1 27.01.15 19:30:24 MSK

Ну, ntp следует закрывать через iptables (там и ддос, и при желании выполнение кода). Остается еще sshd + apache. Ломануть ssh можно через подбор паролей. А на apache надо смотреть все, что крутится: php, perl/cgi, ruby и т.д. и т.п. Поскольку явный признак это спам, то, скорей всего, рассылка идет через apache, т.к. часто сервисам нужно иметь возможность слать письма с уведомлениями. См. конфиги того, что крутится под apache и где прописаны настройки на почтовик. Очевидно, что первым надо смотреть твой ISPManager.

~~gh0stwizard~~ ★★★★★
(27.01.15 19:38:44 MSK)

Ссылка

по netstat:

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      2378/sshd
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      2298/master
tcp        0      0 Сервер:1500    0.0.0.0:*               LISTEN      2910/ihttpd
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      2143/dovecot
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      2143/dovecot
tcp        0      0 127.0.0.1:12301         0.0.0.0:*               LISTEN      2198/opendkim
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      2143/dovecot
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      2143/dovecot
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      2298/master
tcp        0    464 СЕРВЕР:22      МОЙ IP:64808     ESTABLISHED 2413/2
tcp6       0      0 :::22                   :::*                    LISTEN      2378/sshd
tcp6       0      0 :::25                   :::*                    LISTEN      2298/master
tcp6       0      0 :::443                  :::*                    LISTEN      1959/apache2
tcp6       0      0 :::80                   :::*                    LISTEN      1959/apache2
tcp6       0      0 :::465                  :::*                    LISTEN      2298/master

AndreyE1
(27.01.15 19:43:49 MSK) автор топика

Debian
fail2ban
FTP-выключен,
mail.ru

Итак, нам стоит решить, кто из них тянет команду ко дну. Кто не успевает вовремя отвечать на запросы? Кто не соответствует суровым требованиям коллектива? Кто Самое Слабое Звено?

~~darkenshvein~~ ★★★★★
(27.01.15 19:51:33 MSK)

Ссылка

Пароли. Раз. ISPManager выкинь сразу. Два. Ну и ещё надо смотреть. Контакты в профиле, могу посмотреть.

turtle_bazon ★★★★★
(27.01.15 19:52:39 MSK)

Ответ на: комментарий от turtle_bazon 27.01.15 19:52:39 MSK

ага, написал

AndreyE1
(27.01.15 20:01:40 MSK) автор топика

Ссылка

не советуют.

Я тоже не советую, ставь венду

invokercd ★★★★
(27.01.15 20:36:30 MSK)

Ссылка

Ответ на: комментарий от AndreyE1 27.01.15 19:21:26 MSK

чистый html
максимум 50 посетителей в сутки

Почему не шаред хостинг?

MrClon ★★★★★
(27.01.15 20:40:46 MSK)

Ссылка

2) Может перейти на FreeBSD? Дебиан мне показалась такая приятная, но по факту читая о ней, не советуют.

Узкое место тут не дебиан, а его администратор (извини). Переходи хоть на redhat, хоть на netbsd, делу это не поможет.
И да, в любом случае ты найдёшь кого-то кто скажет «что-то_что_ты_используешь решето взламываемое любым школьником, переходи на что-то_что_использую_я».

MrClon ★★★★★
(27.01.15 20:45:57 MSK)

Ссылка

Ответ на: комментарий от AndreyE1 27.01.15 19:14:03 MSK

И, кстати, разве ISPManager Lite это «чистый HTML»?

MrClon ★★★★★
(27.01.15 20:48:44 MSK)

ISPManager

для чего этот треш нужен? Админю серваки без подобного треша, на деревянном и генте — всё тип-топ.

~~redhat~~
(27.01.15 21:32:09 MSK)

Ссылка

Почистить платформу для запуска putty.exe и totalcmd.exe

steemandlinux ★★★★★
(27.01.15 23:09:26 MSK)

Ссылка

Возможно, тебя спасет ossec

andrew667 ★★★★★
(28.01.15 01:04:08 MSK)

Ссылка

Шла рассылка спама

Опенрелей?

anonymous
(28.01.15 03:56:09 MSK)

Ссылка

1) Как узнать как?

https://www.debian-administration.org/article/318/Using_the_'snort'_Intrusion...

anonymous
(28.01.15 05:28:12 MSK)

Шла рассылка спама

Логи почтового сервера во время рассылки смотри. Вполне возможно, что просто у кого-то из твоих юзверей увели пароль и теперь от его имени спамят.

ISPManager Lite 4.4.10.23 (последн)

Удалить.

Как узнать как?

Выше уже советовали разные утилиты, от себя добавлю только рекомендацию внимательно посмотреть всё те же логи(кто, когда логинился на сервер, подозрительные ошибки и прочее). Плюс провериться rkhunter'ом можно.

Может перейти на FreeBSD?

Взламывают не ядро и не базовую оснастку. Взламывают сайтики и сервисы(реже). А они что в линуксах, что во фряхах одни и те же.

Дебиан мне показалась такая приятная, но по факту читая о ней, не советуют.

Если ты сам собираешься админить это дальше, то и выбирать тебе. У меня вон тоже товарищ один наслушался советчиков, снёс дебиан со своего сервера и поставил арч. До сих пор стебусь с него периодически, когда прибегает с очередными вопросами и проблемами. ;)

shell-script ★★★★★
(28.01.15 05:39:58 MSK)

Ссылка

Ответ на: комментарий от AndreyE1 27.01.15 19:43:49 MSK

С какой целью на сервере продолжает висеть postfix и dovecot, если почта убрана? И вобще, с какой целью в инет откывался imap и pop3? Там ведь пароли могут передаваться в открытом виде. У вас что, эти 50 человек подключались из дома к серверу для забора почты напрямую без VPN?

Почему ISPManager до сих пор не отключен или хотя бы не прикрыт iptables, чтобы к нему можно было подключаться только с вашего IP-адреса? На ЛОРе звездатые читают удалённые коменты, так что ip сервера вы спалили, закрывайтесь iptables'ом.

mky ★★★★★
(28.01.15 12:03:54 MSK)

Ответ на: комментарий от mky 28.01.15 12:03:54 MSK

ISP закрыл, pop3 я думал норм будет, для авторизации MD5 использую, я думал это безопасно!? а как IMAP отключить? Он вообще не используется.

AndreyE1
(28.01.15 14:58:55 MSK) автор топика

Ответ на: комментарий от anonymous 28.01.15 05:28:12 MSK

Snort требует sql, ещё один сервис - вот думаю, а не будет ли хуже? :)

AndreyE1
(28.01.15 15:01:01 MSK) автор топика

Ответ на: комментарий от MrClon 27.01.15 20:48:44 MSK

закрыл ISP, только с моего IP теперь можно. Надеюсь это поможет. Может можно его выключать и включать через ssh?

AndreyE1
(28.01.15 15:04:33 MSK) автор топика

Ссылка

Ответ на: комментарий от AndreyE1 28.01.15 15:01:01 MSK

Если mysql не будет доступен по сети то то не должно сильно помешать.
Другое дело что нафиг тебе сдался Снорт? Не усложняй. Сейчас ты не можешь сам разобраться даже с вебсервером без костылей вроде ISP, добавив ещё больше ещё более навороченного софта ты просто добавишь ещё больше способов выстрелить себе в ногу.

И ты так и не ответил почему не шаред хостинг? Зачем придумывать себе трудности?

MrClon ★★★★★
(28.01.15 17:50:19 MSK)

Одному мне кажется, что предоставленных данных недостаточно что-бы понять что это руткит. Единственное, что вызывает подозрение — /boot/grub/menu.lst~

А так то да, конечно, 146% руткит ISP УДОЙЛЯЙ

greek_31 ★★
(28.01.15 19:28:46 MSK)

Ответ на: комментарий от greek_31 28.01.15 19:28:46 MSK

Единственное, что вызывает подозрение — /boot/grub/menu.lst~

Временные файлы vim же.

edigaryev ★★★★★
(28.01.15 20:02:44 MSK)

Ответ на: комментарий от edigaryev 28.01.15 20:02:44 MSK

Это подозрительно, потому что я не понимаю зачем их редактировать вручную в Debian. Может ОП просветит.

greek_31 ★★
(28.01.15 20:27:23 MSK)

Ссылка

Ответ на: комментарий от AndreyE1 28.01.15 14:58:55 MSK

а как IMAP отключить?

В ″/etc/dovecot/dovecot.conf″ убрать из строки ″protocols″.

pop3 я думал норм будет, для авторизации MD5 использую

По поводу pop3 я не понял, им пользуетесь только вы или ещё кто-то? Если только вы, то это одно, а если разные люди, с разных компов, то они могли забыть нужные галочки в настройке и их pop3-клиент и он может попытаться подключиться с открытым паролем.

mky ★★★★★
(28.01.15 21:28:20 MSK)

Ответ на: комментарий от MrClon 28.01.15 17:50:19 MSK

Почему не шаред? Я 5 лет скитался по разным сервакам виртуальным. Это просто шлак всегда и во всех случаях: скорость крайне низкая. А их почтовые серваки теряют почту, долго доставляют. И очень частые падения. За 5 баксов дигиталОушн падает раз в 3 месяца, почта мгновенная и ни разу не терялись письма (ну кроме того раза когда слетел dkim на ДНС). Мне проверили сервак, короче взлома не было. Паника ложная. Осталось настроить по вашим советам, чтобы меньше паниковать в будущем :)

AndreyE1
(28.01.15 22:33:40 MSK) автор топика

Ответ на: комментарий от mky 28.01.15 21:28:20 MSK

а как IMAP отключить?
В ″/etc/dovecot/dovecot.conf″ убрать из строки ″protocols″.

Я и до этого пробовал, поэтому и спросил. Там такой строки вообще нет.

Клиенты я настраиваю, поэтому галочки стоят. Но какие нужны? У меня стоит через MD5 - норм?

AndreyE1
(28.01.15 22:36:43 MSK) автор топика

Ответ на: комментарий от AndreyE1 28.01.15 22:33:40 MSK

Где-же ты такие шареды находил.

MrClon ★★★★★
(28.01.15 22:37:40 MSK)

Ответ на: комментарий от AndreyE1 28.01.15 22:36:43 MSK

Моё скромное мнение: POP3 - на свалку, IMAP+SSL(TLS) - для почты, HTTPS - для сайтов, ISPManager - выпилить и зачистить.

ну я ж как лучше хотел: лицензия, коммерческий продукт :(

А надо было хотеть знаний, чтобы сделать самому, либо денег для оплаты стороннего специалиста, извини за прямоту.

dhameoelin ★★★★★
(28.01.15 22:46:18 MSK)

Ответ на: комментарий от MrClon 28.01.15 22:37:40 MSK

Где-же ты такие шареды находил.

Все, начиная от бренд-неймов, закачнивая всеми другими. И по 1000р (это ещё по старым ценам) и по 500, всё одно и тоже. С администраторами и без - толку нуль.

AndreyE1
(28.01.15 23:13:17 MSK) автор топика

Ответ на: комментарий от dhameoelin 28.01.15 22:46:18 MSK

извини за прямоту

Заплатить можно было бы, я не жадный - честно. Но откуда тогда у меня возмуться знания? Каждый раз искать специалиста... И потом, у меня html сайт (ISP это конечно не html) и почта, и всё. Никаких базданных и тп и тд....

IMAP+SSL(TLS)= при IMAP первый прочитывающий новое письмо стирает его с сервака вроде, не? Или можно сделать так, чтобы письмо как «новое» появлялась у одного клиента (на одном и том же адресе почты), а у другого просто появлялось, но не как новое? Ближе всего к этому получилось настроить на pop. Что касается SSL - то я так понял надо брать 256бит сертификат и выше, а они не такие уж дешевые (а некоторые стоят слишком много).

AndreyE1
(28.01.15 23:18:26 MSK) автор топика

Ответ на: комментарий от AndreyE1 28.01.15 23:13:17 MSK

Какие 1000? Какие 500? Какие администраторы? Я о шаред-хостинге говорю, а не о VPS. Об обычном веб-хостинге короче.
Там цены 100 - 300 руб в среднем. Работают вполне стабильно и вполне быстро. Почта может у кого и не очень хорошая, но зачем ей пользоваться если есть почта для домена от гуглояндексов.

MrClon ★★★★★
(28.01.15 23:36:56 MSK)

Ссылка

Ответ на: комментарий от AndreyE1 28.01.15 23:18:26 MSK

Пишу с мобилы, так что опечатки могут быть...

Про заплатить - можно дрговориться так, что спец объяснит на пальцах, что он сделал. Все зависит от условий договора.

Про знания - учиться на боевом сервере - к трате денег. Примета такая.

Про IMAP - ты путаешь с POP3. IMAP не скачивает письма, читай описание протокола.

Про SSL - а ты что хотел? Цены, кстати, очень разные и зависят от продавца. Можно и халяву найти для личного пользования.

dhameoelin ★★★★★
(29.01.15 00:02:16 MSK)

Ответ на: комментарий от dhameoelin 29.01.15 00:02:16 MSK

В общем и правда, наверное, стоит найти «спеца», чтобы поднял всё с нуля, в том объеме, какой нужен и всё объяснил... заодно как обучение сойдёт

AndreyE1
(29.01.15 00:13:16 MSK) автор топика

Ссылка

Похожие темы