LINUX.ORG.RU
ФорумAdmin

Взломали сервер

 , ,


0

4

Ситуация такова: Стоит Ubuntu 14.04 и ISPconfig 3 - вертится несколько сайтов. Пришла жалоба на спам. НО в логах чисто - стал крутить выяснил: запускается 3 процесса от пользователя www-data с PPID 1, т.е. родитель /sbin/init. И эти процессы вешаются на 25й порт и шлют и шлют пока их не прибить. Прибиваю, через некоторое время оптять то же самое.

В итоге: потушил веб-сервер (nginx), закрыл все входящие порты фаерволом, оставил только SSH, но разрешив доступ только с моего IP - И все равно периодически запускаются эти процессы.

КАК???? Я уже не знаю куда копать, я не понимаю как это происходит. Помогите.



Последнее исправление: mobius (всего исправлений: 1)
Пищу из потухшего танка.
Доступ к домашнему серверу из интернета как сделать?
Показаны ответы на комментарий. Показать все комментарии.
Ответ на: комментарий от Oxdeadbeef

меня очень сильно волнует вопрос: как оно вобще запускается и как так получилось? возможно ли такое сделать через уязвимость какого-то сайта или сайты ту ни при чем?

mobius
() автор топика
Ответ на: комментарий от mobius

Вообще, у тебя сервер уже скомпрометирован, и хз что они там ещё натворили — переставляй систему и восстанавливай данные из бэкапов. Разбираться потом будешь.

Oxdeadbeef ★★★
()
Ответ на: комментарий от mobius

Возможно всё. Через уязвимость в php, например. Через php, положили какой-нибудь эксплойт, оно поднялось до рута, и всё. Совет, подниматься с backup - не лишён смысла.

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

да я скорее всего буду переставлять ОС. Но я хочу понять как оно туда попало и что происходит сейчас. Чтобы этого не повторилось.

mobius
() автор топика
Ответ на: комментарий от mobius

Боюсь, что придётся логировать всё и вся... Скорее всего, тебя сломали боты. И твой ip, у них уже числится как ip адрес «лоха». И после переустановки, они к тебе снова придут... Придут всей толпой. :( В общем через логи как-то пытаться выуживать это дело.

DALDON ★★★★★
()
Ответ на: комментарий от mobius

Если тебе init подменили, то уже совсем без вариантов. Только снести и восстановить из бэкапов.

Вариант с загрузкой с внешнего носителя и восстановлением системы по кирпичику не рассматриваем.

PS А откуда этот подмененный init стартует? И с каким PID?

CaveRat ★★
()
Ответ на: комментарий от DALDON

А разве ещё кто-то держит ssh открытым на улицу?

Я держу. Мне нравится коллекционировать блеклисты.

d_a ★★★★★
()
Ответ на: комментарий от d_a

Это как? :) Собирать ip адреса и временно их банить? Или банить навечно? Если навечно банить, то из-за того, что сейчас целые города сидят на трёх айпишниках, можно получить много весёлостей...

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

Да, временно банить ботов брутфорсеров же. Например, если банить на 10 дней, то средний список будет примерно 50 наименований.

d_a ★★★★★
()
Ответ на: комментарий от DALDON

А разве ещё кто-то держит ssh открытым на улицу? o_O ?

Ну, у меня для тебя плохие новости :) Куча народу даже RDP держит открытым на весь двор.

CaveRat ★★
()
Ответ на: комментарий от d_a

Не знаю, может я и не прав, но... Лишний раз привлекать к себе ботов - идея хреновая, хотябы только потому, что они генерируют трафик.

DALDON ★★★★★
()
Ответ на: комментарий от mobius

Слей раздел. Потом можешь попробовать в виртуалке запустить.

matrixd
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Пищу из потухшего танка.
Admin
Доступ к домашнему серверу из интернета как сделать?