LINUX.ORG.RU
ФорумAdmin

Взломали сервер

 , ,


0

4

Ситуация такова: Стоит Ubuntu 14.04 и ISPconfig 3 - вертится несколько сайтов. Пришла жалоба на спам. НО в логах чисто - стал крутить выяснил: запускается 3 процесса от пользователя www-data с PPID 1, т.е. родитель /sbin/init. И эти процессы вешаются на 25й порт и шлют и шлют пока их не прибить. Прибиваю, через некоторое время оптять то же самое.

В итоге: потушил веб-сервер (nginx), закрыл все входящие порты фаерволом, оставил только SSH, но разрешив доступ только с моего IP - И все равно периодически запускаются эти процессы.

КАК???? Я уже не знаю куда копать, я не понимаю как это происходит. Помогите.



Последнее исправление: mobius (всего исправлений: 1)

Лучше бы тебе начать доставать бекапы, КМК

XMs ★★★★★
()
Ответ на: комментарий от Oxdeadbeef

в кроне все чисто, да и запускается в разное время.

как быстро закрыть исходящие порты, так чтобы SSH не рухнуло?

mobius
() автор топика
Ответ на: комментарий от Oxdeadbeef

меня очень сильно волнует вопрос: как оно вобще запускается и как так получилось? возможно ли такое сделать через уязвимость какого-то сайта или сайты ту ни при чем?

mobius
() автор топика
Ответ на: комментарий от mobius

Вообще, у тебя сервер уже скомпрометирован, и хз что они там ещё натворили — переставляй систему и восстанавливай данные из бэкапов. Разбираться потом будешь.

Oxdeadbeef ★★★
()
Ответ на: комментарий от mobius

Возможно всё. Через уязвимость в php, например. Через php, положили какой-нибудь эксплойт, оно поднялось до рута, и всё. Совет, подниматься с backup - не лишён смысла.

DALDON ★★★★★
()

Первым делом меняй рутовый пароль.

Далее сканируй хост на предмет подозрительных открытых портов. Сделать это можно, например, с другой юниксовой машины с помощью утилиты nmap:

[root@localhost user]# nmap -P0 123.123.123.123
Deathstalker ★★★★★
()
Ответ на: комментарий от DALDON

да я скорее всего буду переставлять ОС. Но я хочу понять как оно туда попало и что происходит сейчас. Чтобы этого не повторилось.

mobius
() автор топика
Ответ на: комментарий от mobius

Боюсь, что придётся логировать всё и вся... Скорее всего, тебя сломали боты. И твой ip, у них уже числится как ip адрес «лоха». И после переустановки, они к тебе снова придут... Придут всей толпой. :( В общем через логи как-то пытаться выуживать это дело.

DALDON ★★★★★
()

Есть слишком много способов такое сделать.
Поэтому надо VCS и бекапы и уметь снести всё под ноль и восстановить в рабочее состояние с чистого листа.

Самая простая подлянка: нашли дырку, влезли, подменили какой-нибудь системный бинарь, почистили логи.
Искать конкретный бинарь гораздо дольше чем раскатать на чистом сервере дистрибутив (ессно сервер должен был быть настроен так чтобы микрокод из операционки нельзя было перешить, иначе это уже аппаратный руткит может быть), воткнуть в него набор пакетов и конфиги и раскатать из VCS и бекапов всё что там крутилось.

Хотя если хочется приключений и никуда не торопишься — можно запастись терпением и скиллами и расковырять место произрастания ног.
С некоторой значительной вероятностью это может быть невозможно из работающей ОС и надо будет расковыривать бинари из заведомо не скомпрометированной ОС.

Goury ★★★★★
()

1. Забекапь полность ситему (что бы потом потыкать)
2. Поднимай из рабочего бэкапа
3. Накатить на систему обновы безопасности если ранее этого не делалось
4. Разверни в виртуалке п.1 и тыкай палочкой в попытке понять как оно к тебе попало

anc ★★★★★
()
Ответ на: комментарий от mobius

Если тебе init подменили, то уже совсем без вариантов. Только снести и восстановить из бэкапов.

Вариант с загрузкой с внешнего носителя и восстановлением системы по кирпичику не рассматриваем.

PS А откуда этот подмененный init стартует? И с каким PID?

CaveRat ★★
()

Ну если тебе 25 порт не нужен вообще (мало ли) - прикрой его таблом по всем направлениям и пусть боты дружно долбят стенку. Но вообще - доставай бекап, меняй все пароли, кури логи и думай откуда к тебе пролезть могли. И еще - что за процессы-то? Откуда запускаются в плане?

upcFrost ★★★★★
()
Ответ на: комментарий от DALDON

А разве ещё кто-то держит ssh открытым на улицу?

Я держу. Мне нравится коллекционировать блеклисты.

d_a ★★★★★
()
Ответ на: комментарий от d_a

Это как? :) Собирать ip адреса и временно их банить? Или банить навечно? Если навечно банить, то из-за того, что сейчас целые города сидят на трёх айпишниках, можно получить много весёлостей...

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

Да, временно банить ботов брутфорсеров же. Например, если банить на 10 дней, то средний список будет примерно 50 наименований.

d_a ★★★★★
()
Ответ на: комментарий от DALDON

А разве ещё кто-то держит ssh открытым на улицу? o_O ?

Ну, у меня для тебя плохие новости :) Куча народу даже RDP держит открытым на весь двор.

CaveRat ★★
()

Возми бэкап или установи зановог де-нить в виртуалке. Сними контрольные суммы и там и на серваке. В бубунте помнитсяя /var/lib/dpkg лежат файлы с <name-packet>.md5sum Для начала как-то так:

ls /bin | wc -l > file_list.txt
find /bin/ | sort|  xargs openssl dgst -md5 >> file_list.txt
Потом diff сравнишь вывод. Ели различий не будет, то грузись с LiveCD и снова проверяй.
sshd_config:
AllowUsers  <username>
MaxAuthTries 3
MaxStartups 10
+ hosts.allow, hosts.deny - если это работает, то iptables уже не так сильно нужен будет.

TomBOY ★★
()
Ответ на: комментарий от d_a

Не знаю, может я и не прав, но... Лишний раз привлекать к себе ботов - идея хреновая, хотябы только потому, что они генерируют трафик.

DALDON ★★★★★
()
Ответ на: комментарий от mobius

Слей раздел. Потом можешь попробовать в виртуалке запустить.

matrixd
()
Ответ на: комментарий от reprimand

да, я тоже склоняюсь к мысли, что через ISPconfig влезли... какая реальная альтернатива ему из бесплатных существует?

mobius
() автор топика
Ответ на: комментарий от mobius

какая реальная альтернатива ему из бесплатных существует?

руки

reprimand ★★★★★
()
Ответ на: комментарий от mobius

Вообще тут правы все. Такие вещи которые смотрят наружу типа web,ftp, прочие штуки запускать лучше в контейнерах lxc,systemd-nspawn,rt,docker(нужны прямые руки и мозг). Из панелей глянь agenti еще мой совет поставь систему на btrfs тогда можно будет делать снапшоты и смотреть,что изменилось в ФС + быстро можно сделать откат на снапшот Итог: centos+btrfs+selinux(тут спорный момент,без прямых рук он не эффективен)+контейнеры если есть дамп я хочу потыкать

olovo
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.