LINUX.ORG.RU
ФорумAdmin

Взломали сервер FC7, что делать?


0

0

Всем доброго вечера,

мой старенький сервер FedoraCore 7 взломали, второй раз подряд.

Хронология первого раза (по памяти)
1. Сервер не отзывается
2. Включил монитор, вижу предлагается инсталяция upgrade FC9
3. Перестартанул, когда появилось грубовская меню, то стояло запустить обновление FC9
4. Выбрал загрузки стандартного ядра
5. команда last выдала что одним из тех кто залогонился на сервер был непрошенный гость "uupc". IP был tor-exit....
6. файл /boot/grub/menu.lst содержал команду установки FC9 с удаленного сервера
7. Сменил пароль роота, удалил uupc, времени катострофически не хватало заняться расследованием

В данный момент не могу достучаться до системы, если не сложно подскажите достойные руководства где описано как выявить каким образом проникли, защититься и так далее.

ЗЫ
Сервер был поставлен согласно руководству
http://www.howtoforge.com/perfect_server_fedora7


> файл /boot/grub/menu.lst содержал команду установки FC9 с удаленного сервера

послушай умных людей

Unknown
()

Олсо не забывай что ты мог поиметь руткит

tensai_cirno ★★★★★
()

Хоть бы конфиг iptables скинул, что ли ...

ovax ★★★
()

через пару недель эти ребята что тебя сломали, возьмут пефка и апдейты для твоего сервера, и будут работать за тебя, а ты пойдешь доски на завод складывать.

MikeDM ★★★★★
()
Ответ на: комментарий от Valmont

Возможно, их руткит не работает на старых системах и им пришлось её обновлять...

true_admin ★★★★★
()

В общем, у тебя старая ось с кучей дыр. Например, в одном ядре только дыры 3-4 критических залатали со времени выхода fc7. Поэтому забей и переставляй всё с нуля.

А времени у всех не хватает, но это надо делать чтобы потом не было мучительно больно. Я свой сервер два месяца перенастраивал. И ничего, сделал. Пока настраивал заново старая ось в виртуалке крутилась.

true_admin ★★★★★
()

ИМХО, сервер и Fedora - это несовместимые понятия. Ну и SELinux, конечно, был отрублен?

Я посоветовал бы поставить CentOS вместо Fedora и разобраться с настройкой SELinux.

Slavaz ★★★★★
()
Ответ на: комментарий от Slavaz

Буду ставить CentOS + ISPconfig. SElinux разбираться.... не хватит ни сил не времени, лучше тогда сразу Windows-server поставить. Возможно Windows-server более защищенный чем Linux (знакомы поклонники MS пока не встречались со взломом). Обидно что никто не дал толковых советов, или линк, описывающих порядок операций, позволяющих выяснить каким образом была взломана система.

duron27
() автор топика
Ответ на: комментарий от duron27

А вы считаете это тривиальной задачей? Которая решается по одному хауту, как настройка сети? Исходя из ваших предыдущих слов, возможно вам действительно стоит поставить windows сервер, чтобы своим примером не делать плохой рекламы linux.

Valmont ★★★
()
Ответ на: комментарий от duron27

>Возможно Windows-server более защищенный чем Linux

возможно ты пытался кого-то задеть, но специвлист, даже не думает о фразах типа: "защищенный виндоус". Ставь виндоус, раз рекомендуют, разницы для тебя нет, а ответственность свалишь на других :)

dimon555 ★★★★★
()
Ответ на: комментарий от duron27

> знакомы поклонники MS пока не встречались со взломом

Просто твои знакомые поклонники MS знают, что от злых хакеров и вирусов на 99% помогает своевременное обновление системы. Любой.

> Обидно что никто не дал толковых советов, или линк, описывающих порядок операций, позволяющих выяснить каким образом была взломана система.


Смотреть содержимое /var/log на предмет аномальной активности. Хотя я не удивлюсь, если у тебя пароль у root'а 123, ему разрешён доступ по ssh и sshd запущен =).

Deleted
()
Ответ на: комментарий от dimon555

Offtopic

Я никого не пытался задеть, высказал свое мнение по связке Linux+SELinux. Написал что поставлю CentOS+ISPconfig, который идет без SELinux -- наврено из-за сложности настроек SELinux.

К сожалению толковых советов, не получил.

Кстате я где то в инете видел простенькое описание как поставить
[LAN 10.10.10.0/24]<-->{10.10.10.ISP}[MY-Gateway IP-the same as ISP-provider]<-->{10.10.10.ISP}[ISP-provider ]<--->INTERNET

MY-Gateway настроен таким образом что пользователь не видит что между ним и гатеваем провайдера стоит промежуточный. traceroute -- так же не выводит инфу по такому промежуточному роутеру.

Не подскажите адресок?


duron27
() автор топика
Ответ на: комментарий от Deleted

Пароль рута был более 16 символов.

Обновление пакетов собранных согласно ISPCоnfig не производилось.

Сама система обновлялась yum (мне так кажется, наверно года 2 назад настраивал).

Беглый просмотр /var/log/messages не дал явных следов взлома.

rpm -Va -- тоже ничего подозрительного не дало.

PS
если что то пишите, то пожалуйста поставьте себя на мое место, и подумайте как Вам бы понравились читать некоторые коменты. Обид стараюсь на эти коменты не держать, хотя осадок есть.... Наверно большинство таких коментов писали молодые люди, с маленьким жизненным опытом.


duron27
() автор топика
Ответ на: комментарий от duron27

> Сама система обновлялась yum (мне так кажется, наверно года 2 назад настраивал).

Я правильно понял, что ты два года назад всё поставил, настроил и забыл? Просто yum сам по себе ничего не обновляет, его для этого надо запускать. Даже если засунуть запуск yum'а в crontab (что на самом деле лучше не делать), обновлённые сервисы всё равно надо как-то перезапускать, иначе файлы на диске обновятся, а сервис, висящий в памяти, так и останется старой версии.

Deleted
()
Ответ на: комментарий от duron27

Топикстартеру рекомендую пойти в ученики к более матерому сисадмину, сначала будешь принеси подай, потом дадут какой нибудь сторонний сервачек под присмотром старшего админа, позже когда заматереешь, тебя посвятят в старшие админы итп. итд.

с нуля мало кто разбирается с линуксом, либо очень долго постигают методом проб и ошибок.

MikeDM ★★★★★
()
Ответ на: комментарий от duron27

Ты не мог обновить федору потому что поддержка fc7 c 2008–06–13 прекращена.

Ну а на счёт обид тут всё просто. С одной стороны сравнением с виндами ты задел чувства линуксоидов, с другой вопросы ты задаёшь такие что парой строк тебе не ответишь.

Посмотри логи если они остались. Только если хацкеры рута получили то логи они могли и затереть и подредактировать.

Могли через сайт какой-нить взломать. Получить шелл на сервере а потом поднять привилегии.

true_admin ★★★★★
()
Ответ на: комментарий от Deleted

Так и было! Настроил и забыл. К сожалению не страдаю садо-мазохизмом переинсталировать сервера каждый день. Если я yum настраивал, то конечно прописовал в конфиге демона соответсвующии параметры. Сам сервер конечно перестартовывал... ну от силы 2-3 мес без перестарта.

Есть возможность определить это взлом через
Secondary-DNS, Secondary-mail-сервер, или другие службы?
Если до, то куда надо смотреть? какие файлы проверить?


Изменение файла /grub/menu.lst и перезпуск сервера одназначно свидетельствуют о том что хакер имел через SSH протокол доступ в систему как роот?

Как заблокировать IP идущие от анонимизера tor-exit..... ?

О чем может свидетельствовать настоичивость хакера upgrade FC9, а сегодня до FC8?

Нет ни каких других вариантов отличных от true_admin что у них нет руткитов на старую FC7?

Заранее спасибо за толковые советы и конечно ссылки.

duron27
() автор топика
Ответ на: комментарий от true_admin

Боюсь что логи подредактированы, так же как и хистори.

Может кто нибудь скинуть список файлов в которых хакер по неаккуратности мог отсавить следы?



duron27
() автор топика
Ответ на: комментарий от duron27

> Так и было! Настроил и забыл. К сожалению не страдаю садо-мазохизмом переинсталировать сервера каждый день.

И не надо переустанавливать всю систему. Надо просто более-менее регулярно обновлять и смотреть за сервером.

> Если я yum настраивал, то конечно прописовал в конфиге демона соответсвующии параметры.


Дак ты скажи как именно его настраивал. Повторяю: yum сам ничего не обновляет, его для этого надо запускать, руками или с помощью каких-либо скриптов автоматизации. Потому вопрос: каким способом ты обновлял софт на сервере?

> Если до, то куда надо смотреть? какие файлы проверить?


Сильно зависит от того, что именно у тебя там было установлено, какой версии и как настроено. Телепатов не бывает.

> Изменение файла /grub/menu.lst и перезпуск сервера одназначно свидетельствуют о том что хакер имел через SSH протокол доступ в систему как роот?


То что он поимел рутовые права - однозначно. А что именно через sshd - не факт. Возможно у тебя там работает ещё какой-нибудь демон с правами рута, доступный из внешней сети и в котором есть дырка. К этой дырке взломщик и нашёл эксплоит.

> О чем может свидетельствовать настоичивость хакера upgrade FC9, а сегодня до FC8?


О том, что он скорее всего не злой и просто предупреждает, что Fedora 7 не поддерживается с середины 2008го года и под неё уже не выходят обновления, даже заплатки для дыр в безопасности. Так что если на твой сервер с F7 набредёт настоящий злоумышленник, то он скорее всего сделает что-то по настоящему плохое. Типа массовой рассылки спама, или кражи ценной информации (если она у тебя есть).

Deleted
()

Что-то сплошной бред какой-то. Debian 2 с момента выхода без апгрейдов работает и китайцы так и не смогли подобрать пароли.

xpahos ★★★★★
()
Ответ на: комментарий от duron27

>О чем может свидетельствовать настоичивость хакера upgrade FC9, а сегодня до FC8?

кто-то просто тренируется во взломе и не знает что бы с серваком сделать?

dimon555 ★★★★★
()
Ответ на: комментарий от Deleted

Все что у меня было установлено на сервере и как описано:
http://www.howtoforge.com/perfect_server_fedora7

Тему про то обновлялась ли система, и каким образом, я отвечу скорее завтра, так как сегодня настраиваю сервак в замен сломаному.

В связи с этим меня интересует устоит ли сервер перед хакером,
если его настраивать согласно инструкциям:
http://www.howtoforge.com/perfect-server-centos-5.3-x86_64-ispconfig-3

ЗЫ
Лучше бы этот хороший хакер написал,
я тебя взломал через такой-то демон....

duron27
() автор топика
Ответ на: комментарий от dimon555

>>traceroute -- так же не выводит инфу по такому промежуточному роутеру.
>надо ttl не менять


Чуть меня не понял,
например если по простому делать, даже меняя ttl,
команда tracert ххх.ххх.ххх выдаст:
1 MY-GATEWAY
2 ISP-GATEWAY
.
.
6. ххх.ххх.ххх

а надо
1 ISP-GATEWAY
.
.
5. ххх.ххх.ххх

Уловил?

кажется proxyarp надо пользовался.... но как не могу вспомнить, даже ключевые слова!

Мне это надо что бы пользователи как работали так и продолжали работать со своими настройками:
IP, NETMASK, GW: ISP-GW ...
и у них складывалось впечатление что у них прямой доступ к роутеру провайдера интернета. Да и хакер тоже не видел бы что нет изменений в конфигурации сети. Я бы тогда на иптаблах пытался словить его.

duron27
() автор топика
Ответ на: комментарий от true_admin

> Дебиан сделан из того же теста. А то и хуже если вспомнить про то как у них ключи в openssl генерелись.

мне кажется человек врет ;)

xpahos ★★★★★
()
Ответ на: комментарий от duron27

>Лучше бы этот хороший хакер написал,
>я тебя взломал через такой-то демон....


Применительно к такой имперской рухляди, как седьмая федора, подобная информация будет интересна разве что историкам. Ну зачем знать, какие дыры там были? Их уже давно закрыли в поддерживаемых системах. А юзать неподдерживаемую систему - ССЗБ.

nnz ★★★★
()
Ответ на: комментарий от duron27

>Возможно Windows-server более защищенный чем Linux

Спасибо, поржал :D

nnz ★★★★
()
Ответ на: комментарий от duron27

> Какой из линуксовых дистрибутивов не надо переинсталировать каждые два года?

Любой.

Deleted
()
Ответ на: комментарий от duron27

>Из какого места должны расти руки, чтобы линукс не нужно было переставлять каждые два года?

Из плеч. Если у вас они растут из другого места - это ваши половые трудности.

nnz ★★★★
()
Ответ на: комментарий от nnz

Так как тема переросла в БАЗАР, подведу краткие итоги

1. Никто не дал советов или линков с описанием обнаружения атаки.
Для сервера установленного согласно http://www.howtoforge.com/perfect_server_fedora7
Таким образом по сути дела, администрация для начинающих сводится к словам авось не хакнут... а если хакнули то переустановлю по новой авось не хакнут. В этом форуме нету советов как выявить слабое звено.

2. Никто не подсказал адресок или дал краткий совет как настроить полностью прозрачный роутер, который не показывается при команде tracert и позволяет не изменять настроек TCP/IP на компьютере пользователя с прописанным ISP-провайдера интернета

3. Линукс система которую необходимо переинсталлировать каждые два года, иначе в ней накапливаются дыры, а поддержка дистра прекращается

4. От себя, ставить все желательно из основных RPM, чтобы не парится с обновлением системы команда: yum update. Таким образом при установке сервера не использовать компиляцию исходников (с патчами), иначе придется перекомпилировать пакеты каждый раз, что бы устранить дыри.

5. Развитие линукса показало, что линукс по прежнему имеет недружелюбный интерфейс (как в плане конфигурирования так и в плане озлобленных комментариев самих же линуксоидов). За 20 лет сообщество так и не закончило написание DNS, MAIL, HTTP серверов, которые не содержали бы дырок, хотя сами протоколы уже давно существуют.

Всем удачи, и побольше дружелюбия!
Командная строка должна делать человека более дружелюбным,
а не озлобленным... если такое конечно возможно :)

ЗЫ
Надеюсь что эта тема будет актуальна людям, у которых родилась идея выбрать Linux в качестве почтового сервера. Директорам фирм советую выбирать Windows-администратора, так как больше людей знают Windows, есть техническая поддержка, есть хорошая документация. Маленькие фирмам можно пробовать Linux, но в таком случае экономия на софте может потребовать больших ежемесячных затрат на зарплату профессионального линукс-администратора (в котором последующем вы будете тесно завязаны).

duron27
() автор топика
Ответ на: комментарий от duron27

> Таким образом по сути дела, администрация для начинающих сводится к словам авось не хакнут...

все что ты тут и дальше написал - бред, любой распространенный дистрибутив с длительным периодом поддержки имеет security updates, то что тебе лень их ставит - исключительно твои проблемы

Unknown
()
Ответ на: комментарий от duron27

> Линукс система которую необходимо переинсталлировать каждые два года, иначе в ней накапливаются дыры, а поддержка дистра прекращается

во-первых федора - один с худших вариантов с точки зрения поддержки, во-вторых обновление от релиза до релиза - не такая уж и сложная вещь, у меня убунту с 7.04 до 9.10 прекрасно апдейтилась

Unknown
()

какие претензии вообще к сообществу и линуксу?

FC7 - старый, бесплатный дистрибутив, не включающий в себя техническую поддержку, соответственно все на что можно расчитывать - на себя и на помощь коммьюнити (которое кстати ничем вам не обязано, хотя бы потому что вы ничего для этого коммьюнити не сделали)

нужна поддержка - RHEL , SLES, ALTLinux с талоном техподдержки и т д и т п,
платите денежку - получаете поддержку, а возмущаться и троллить как минимум глупо, а уж тем более рассыпаться в детских угрозах "а я вот уйду от вас на виндос сервер и всем знакомым расскажу"

Sylvia ★★★★★
()

Ставьте gentoo и не имейте мозг: все обновления производятся плавно, никаких тотальных переустановок системы. Разворачивается удалённо за 5 минут

spirit ★★★★★
()
Ответ на: комментарий от duron27

1. Слабое звено — не обновленная система. Т.е. проблема у вас ДНК, а вовсе не в софте.

2. Оставим этот вопрос специалистам (хаки ARP — не моя специализация).

3. Еще раз поржал, спасибо.
А у нас, между прочим, живет куча серверов на lenny и squeeze, которые начинали в 2005 на sarge — и ничего, живут. Никаких переинсталляций, только обновление софта. А серваки 2007 года на центосе 5, например, будут спокойно жить до 2013 — у редхата шестилетний срок поддержки. Потом, скорее всего, просто обновимся на центос 6 и еще шесть лет отдыхать будем :)

4. Это правильный подход. ./configure && make & make install — детский сад. Смело посылайте на йух того, кто предложит так делать.

5. Да нет. Просто есть понятия «простой интерфейс» и «удобный интерфейс». И чем сложнее задачи, решаемые программным продуктом, тем острее противоречие между этими подходами. Винда отдает предпочтение простоте (тыц-тыц мышкой) в ущерб удобству (логичности, расширяемости, эргономике, автоматизации). Линух — наоборот. Поэтому винда — система для домохозяек, а линух — для людей с IQ>80, способных к обучению.

Насчет ваших рекомендаций — искренне соболезную тем директорам, которые к ним прислушаются ;)

nnz ★★★★
()
Ответ на: комментарий от Sylvia

>возмущаться и троллить как минимум глупо, а уж тем более рассыпаться в детских угрозах "а я вот уйду от вас на виндос сервер и всем знакомым расскажу"

Я думаю, будет очень феерично, если он действительно уйдет на виндовс сервер. Естественно, скорее всего в этом случае его поимеют. Причем не добрый приколист, намекающий, что систему неплохо бы и обновить, а бездушный бот, который устроит на его «серваке» склад вареза и десткой порнухи, не говоря уж о рассылке терабайтов спама и (опционально) прокси для атак на другие серваки. Дальше в винду — ближе к суду, как говорит один мой знакомый IT-юрисконсульт :)

nnz ★★★★
()
Ответ на: комментарий от athost

Повторюсь еще раз, поставил CentOS 5.3 x86_64.

И сделал ошибку, так как выполнял пункты ispconfig,
который компилит пакеты... кто мне сказал
что такой подход некорректный в этой теме?

Я не виндузятник и не линуксоид, а нормальный человек.

Обновление: demon YUM как правильно заметили не обновлял систему,
так в конфиге yum-update.conf do_update = no

duron27
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.