Брутфорс с моего сервера

1

2

Наверно в жизни каждого админа случается ситуация, когда меры предосторожности не спасают и сервер взламывают.
Примерно это случилось и со мной.
Всё работает как работало. Однако провайдер прислал письмо в котором написано что с моего ИПа происходит брутфорс и ип уже попал в «нехорошие листы».

Но проблема заключается в следующем: Я не знаю откуда начинать искать проблему.
Пароли поменял. конфиг ssh пересмотрел...

Сервер является шлюзом для сети, и всё...

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

# POS terminal
-A POSTROUTING -o eth2 -s 192.168.3.69 -j MASQUERADE
# Admin laptop
-A POSTROUTING -o eth2 -s 192.168.3.71 -j MASQUERADE
#Proxy
-A POSTROUTING -o eth2 -s 192.168.3.2 -j MASQUERADE
-A POSTROUTING -s 192.168.3.0/24 -d 10.112.0.0/16 -o eth1 -j MASQUERADE
-A POSTROUTING -s 192.168.3.0/24 -d 10.18.0.0/16 -o eth1 -j MASQUERADE

# обновления спец софта по этому порту с этого компа
-A POSTROUTING -p tcp -s k018w7.domain.local --dport 4728 -j MASQUERADE

COMMIT


*mangle
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A INPUT -m pkttype --pkt-type broadcast -j DROP
-A INPUT -m pkttype --pkt-type multicast -j DROP
-A FORWARD -m pkttype --pkt-type broadcast -j DROP
-A FORWARD -m pkttype --pkt-type multicast -j DROP
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
#-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m pkttype --pkt-type broadcast -j DROP
-A RH-Firewall-1-INPUT -m pkttype --pkt-type multicast -j DROP
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p 80 -j ACCEPT

-A RH-Firewall-1-INPUT -s 192.168.0.0/24 -d 192.168.3.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.1.0/24 -d 192.168.3.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.2.0/24 -d 192.168.3.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.3.0/24 -d 192.168.0.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.3.0/24 -d 192.168.1.0/24 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.3.0/24 -d 192.168.2.0/24 -j ACCEPT

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:15:5D:01:FA:05
          inet addr:192.168.3.1  Bcast:192.168.3.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:58330348 errors:0 dropped:110 overruns:0 frame:0
          TX packets:55969363 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:36956538568 (34.4 GiB)  TX bytes:42539222579 (39.6 GiB)
          Interrupt:9 Base address:0x8000

eth1      Link encap:Ethernet  HWaddr 00:15:5D:01:FA:07
          inet addr:10.0.0.3  Bcast:10.0.0.255  Mask:255.255.255.240
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:62486226 errors:0 dropped:0 overruns:0 frame:0
          TX packets:53569930 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:41289311855 (38.4 GiB)  TX bytes:36289704553 (33.7 GiB)
          Interrupt:9 Base address:0xa000

eth1:0    Link encap:Ethernet  HWaddr 00:15:5D:01:FA:07
          inet addr:10.18.245.130  Bcast:10.18.245.143  Mask:255.255.255.240
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:9 Base address:0xa000

eth1:1    Link encap:Ethernet  HWaddr 00:15:5D:01:FA:07
          inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:9 Base address:0xa000

eth2      Link encap:Ethernet  HWaddr 00:15:5D:01:FA:08
          inet addr:217.4.177.186  Bcast:217.67.177.191  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:327668460 errors:0 dropped:63 overruns:0 frame:0
          TX packets:437919588 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:56480322007 (52.6 GiB)  TX bytes:40791422945 (37.9 GiB)
          Interrupt:9 Base address:0xc000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:10472 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10472 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1512392 (1.4 MiB)  TX bytes:1512392 (1.4 MiB)

интерфейс eth0 смотрит в локальную сеть
интерфейс eth1 смотрит в сторону VPN1 тунеля за которым другая подсеть
интерфейс eth1:0 смотрит в сторону VPN2 тунеля за которым другая подсеть
интерфейс eth1:1 смотрит в сторону VPN2 тунеля за которым другая2 подсеть
интерфейс eth2 смотрит в сторону мира (global internet).

eth0 - местная локальная сеть
eth1 - локальная сеть второго офиса
eth1:0 - сеть чужой компании которая предоставляет нам доступ к своим http ресурсам
eth1:1 - сеть чужой компании которая предоставляет нам доступ к своим http ресурсам

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
217.4.177.184   *               255.255.255.248 U     0      0        0 eth2
10.18.245.128   *               255.255.255.240 U     0      0        0 eth1
10.0.0.0        *               255.255.255.240 U     0      0        0 eth1
192.168.3.0     *               255.255.255.0   U     0      0        0 eth0
10.0.1.0        *               255.255.255.0   U     0      0        0 eth1
10.0.2.0        10.0.1.1        255.255.255.0   UG    0      0        0 eth1
192.168.1.0     10.0.0.2        255.255.255.0   UG    0      0        0 eth1
192.168.0.0     10.0.0.1        255.255.255.0   UG    0      0        0 eth1
10.18.0.0       10.18.245.129   255.255.0.0     UG    0      0        0 eth1
10.112.0.0      10.18.245.129   255.255.0.0     UG    0      0        0 eth1
default         217-67-177-185. 0.0.0.0         UG    0      0        0 eth2

просьба помочь разобраться в ситуации

Ссылка

←	мониторинг загруженности ядер выборочно

Не стартует MySQL

→

отруби комп, сделай полную копию харда при помощи dd, переустанови систему заново с нуля, а потом можешь не спеша анализировать копию на предмет логов и чего и как там поломали

Harald ★★★★★
(15.06.12 12:09:58 MSK)

Давай

ps aux

netstat -n -t -u

Chaser_Andrey ★★★★★
(15.06.12 12:11:50 MSK)

Ответ на: комментарий от Harald 15.06.12 12:09:58 MSK

Плюсую

Chaser_Andrey ★★★★★
(15.06.12 12:12:11 MSK)

Ссылка

Ответ на: комментарий от Harald 15.06.12 12:09:58 MSK

leg0las ★★★★★
(15.06.12 12:14:03 MSK)

Ссылка

Если предположить, что сбрутили чей-то пароль, надо проверить пользовательские home-каталоги. Что-то более сложное давно не видел. Даже bash_history не чистят, обленились...

AS ★★★★★
(15.06.12 12:22:31 MSK)

Ссылка

Ответ на: комментарий от Chaser_Andrey 15.06.12 12:11:50 MSK

не помещается всё в мессагу :( ps aux http://pastebin.com/wkRii2Hq

netstat -n -t -u http://pastebin.com/CTS6vgRf

оба вывода укорочены

адский дрын :(

openmsk
(15.06.12 12:32:58 MSK) автор топика

Ответ на: комментарий от openmsk 15.06.12 12:32:58 MSK

root 21296 0.0 0.0 63888 1120 ? S 09:36 0:00 /bin/bash ./go 217

Полагаю, вывод немного обрезан, «217» начало IP адреса, найти нужно файлик «go» (shell script), выяснить, откуда он взялся и как он был запущен. Собсно, глянуть дату создания файла, кто логинился в это время на машину и т.д.

А потом всё равно всё переустановить.

NightSpamer ★
(15.06.12 13:27:37 MSK)

Ответ на: комментарий от NightSpamer 15.06.12 13:27:37 MSK

Могу и ошибаться, конечно, и этот файлик наносит пользу... просто он вызывает наибольшие подозрения. Для уточнения гляньте какой именно процесс ломится на 22й порт (netstat -natp).

NightSpamer ★
(15.06.12 13:30:47 MSK)

Ответ на: комментарий от NightSpamer 15.06.12 13:30:47 MSK

# netstat -natp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      2384/portmap
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      4359/sshd
tcp        0      0 0.0.0.0:919                 0.0.0.0:*                   LISTEN      2433/rpc.statd
tcp        0    264 192.168.3.1:22              192.168.0.172:18146         ESTABLISHED 26452/sshd
tcp        0      0 217.4.177.186:22           89.179.163.162:15755        ESTABLISHED 19159/sshd
tcp        0      0 217.4.177.186:58724        85.214.101.62:3303          ESTABLISHED 27643/[migration/1]

посмотрел я на всё это, очканул сильно. закрыл дырку в 22 порту, и поубивал все процессы

openmsk
(15.06.12 14:27:28 MSK) автор топика

Ответ на: комментарий от openmsk 15.06.12 14:27:28 MSK

посмотрел я на всё это, очканул сильно. закрыл дырку в 22 порту, и поубивал все процессы

Только это не поможет. Оно оживёт или по крону, или при ребуте. Надо искать, что именно подсадили. "-p" у netstat надо было было использовать сразу, тогда были бы известны PID вот у этих процессов:

tcp 0 0 217.4.177.186:42231 217.128.25.157:22 TIME_WAIT
tcp 0 0 217.4.177.186:51375 217.128.28.244:22 TIME_WAIT
tcp 0 0 217.4.177.186:57508 217.128.248.56:22 TIME_WAIT

А, потом, посредством pstree можно было бы посмотреть, кто позвал ssh. Это всё, конечно, при допущении, что утилиты эти не подменили на специальные. Но, как я ранее писал, такого я давным давно не видел.

AS ★★★★★
(15.06.12 14:37:38 MSK)

Ответ на: комментарий от AS 15.06.12 14:37:38 MSK

завтра ночью ребутну машинку и посмотрю вновь... сейчас

netstat -p
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 192.168.3.1:ssh             laptopadmin.domain.local:18146     ESTABLISHED 26452/sshd
tcp        0    248 217-67-177-186.in-addr.:ssh mydomain.ru:15755     ESTABLISHED 19159/sshd
tcp        0      0 217-67-177-186.in-add:58724 edgeofinfini:opsession-clnt ESTABLISHED 27643/[migration/1]
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ]         DGRAM                    1698   528/udevd           @/org/kernel/udev/udevd
unix  2      [ ]         DGRAM                    7204   2622/hald           @/org/freedesktop/hal/udev_event
unix  7      [ ]         DGRAM                    6138777 5967/syslogd        /dev/log
unix  2      [ ]         DGRAM                    53183827 27849/su
unix  3      [ ]         STREAM     CONNECTED     53010542 26452/sshd
unix  3      [ ]         STREAM     CONNECTED     53010541 26524/sshd
unix  2      [ ]         DGRAM                    53010532 26452/sshd
unix  2      [ ]         DGRAM                    50982165 19159/sshd
unix  2      [ ]         DGRAM                    6675814 2210/auditd
unix  2      [ ]         DGRAM                    6138780 5970/klogd
unix  2      [ ]         DGRAM                    19299  4919/racoon
unix  3      [ ]         STREAM     CONNECTED     9194   2932/gam_server     @/tmp/fam-root-
unix  3      [ ]         STREAM     CONNECTED     9193   2907/python
unix  3      [ ]         STREAM     CONNECTED     9145   2499/dbus-daemon    /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     9143   2907/python
unix  2      [ ]         DGRAM                    8625   2818/crond
unix  2      [ ]         DGRAM                    8589   2805/gpm
unix  2      [ ]         DGRAM                    8224   2708/automount
unix  2      [ ]         DGRAM                    8065   2667/hidd
unix  3      [ ]         STREAM     CONNECTED     8027   2499/dbus-daemon    /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     8026   2622/hald
unix  3      [ ]         STREAM     CONNECTED     8004   2622/hald           @/var/run/hald/dbus-o0pXVcw8X4
unix  3      [ ]         STREAM     CONNECTED     8003   2644/hald-addon-sto
unix  3      [ ]         STREAM     CONNECTED     7863   2622/hald           @/var/run/hald/dbus-o0pXVcw8X4
unix  3      [ ]         STREAM     CONNECTED     7862   2636/hald-addon-key
unix  3      [ ]         STREAM     CONNECTED     7830   2609/acpid          /var/run/acpid.socket
unix  3      [ ]         STREAM     CONNECTED     7829   2630/hald-addon-acp
unix  3      [ ]         STREAM     CONNECTED     7821   2622/hald           @/var/run/hald/dbus-o0pXVcw8X4
unix  3      [ ]         STREAM     CONNECTED     7820   2630/hald-addon-acp
unix  3      [ ]         STREAM     CONNECTED     7199   2622/hald           @/var/run/hald/dbus-79pr6St5Ag
unix  3      [ ]         STREAM     CONNECTED     7198   2623/hald-runner
unix  2      [ ]         DGRAM                    7118   2594/pcscd
unix  3      [ ]         STREAM     CONNECTED     6993   2499/dbus-daemon    /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     6989   2513/hcid
unix  2      [ ]         DGRAM                    6972   2519/sdpd
unix  2      [ ]         DGRAM                    6962   2513/hcid
unix  3      [ ]         STREAM     CONNECTED     6938   2499/dbus-daemon
unix  3      [ ]         STREAM     CONNECTED     6937   2499/dbus-daemon
unix  3      [ ]         STREAM     CONNECTED     6816   2469/rpc.idmapd
unix  3      [ ]         STREAM     CONNECTED     6815   2469/rpc.idmapd
unix  2      [ ]         DGRAM                    6663   2433/rpc.statd
unix  3      [ ]         STREAM     CONNECTED     6226   2210/auditd
unix  3      [ ]         STREAM     CONNECTED     6225   2212/audispd

openmsk
(15.06.12 15:40:52 MSK) автор топика

с 90% виновник - перловый скрипт в tmp

~~xtraeft~~ ★★☆☆
(15.06.12 16:04:31 MSK)

Ответ на: комментарий от xtraeft 15.06.12 16:04:31 MSK

еще версию ядра и libc в студию

~~xtraeft~~ ★★☆☆
(15.06.12 16:06:19 MSK)

Ссылка

Ответ на: комментарий от openmsk 15.06.12 15:40:52 MSK

Можно ещё воспользоваться опытом ребят из kernel.org: http://lwn.net/Articles/461237/

NightSpamer ★
(15.06.12 16:49:01 MSK)

Ответ на: комментарий от NightSpamer 15.06.12 16:49:01 MSK

chkrootkit не сильно трудно обойти

~~xtraeft~~ ★★☆☆
(15.06.12 17:06:43 MSK)

Ответ на: комментарий от xtraeft 15.06.12 17:06:43 MSK

Не сильно трудно, но, видимо, очень лень. Брутфорсер-то палится на весь сервер.

Но я бы всё-таки переустановил. Тем более, что «Сервер является шлюзом для сети, и всё...»

NightSpamer ★
(15.06.12 17:24:10 MSK)

Ссылка

1. «С твоего сервера» = «с твоих сетей», если этот сервер - шлюз
2. Модули, которые производят атаку уже поставились, им не нужен пароль ssh => смена его ничем не поможет

~~zgen~~ ★★★★★
(15.06.12 18:42:19 MSK)

Ссылка

перевесь ssh с 22 порта на другой

проблема не в серваке, а в завирусованной виндовой тачке, которая в локальной сети

посчитай трафик со всех машин, которые через нат выходят, особенно обрати внимание на статистику выходных, когда никого в офисе нет, так и найдёшь заражённую машину.

dimon555 ★★★★★
(15.06.12 20:57:45 MSK)

Ответ на: комментарий от dimon555 15.06.12 20:57:45 MSK

[флуд]ssh на другой порт - не панацея, к тому же не очень удобно. Помнить ssh порты на трёх серверах можно, а вот на 30 уже клинить начинает. [/флуд]

заНАТченых машин в этой сети не много, когфиг iptables выше. грешу пока на сам сервер, вот что еще нашел: http://pastebin.com/cimpezMR Что скажите коллеги?

пока на данной машине активности (как утром) не замечено.

openmsk
(15.06.12 23:58:28 MSK) автор топика

Ответ на: комментарий от openmsk 15.06.12 23:58:28 MSK

на вид этот скрипт собирает информацию с машины и каждый день её отправляет куда-то на мэйл.

создай новый шлюз и замени текущий на него, а потом этот переставь. содержимое можешь сохранить и потом анализировать, сколько хочешь.

dimon555 ★★★★★
(16.06.12 01:50:55 MSK)

Ссылка

Ответ на: комментарий от openmsk 15.06.12 23:58:28 MSK

/usr/lib/popauth посмотри, что за файл

поищи, он из какого-то пакета или его кто-то создал

rkhunter попробуй поставить reinstall binutils и т.д.

dimon555 ★★★★★
(16.06.12 01:54:25 MSK)

Ответ на: комментарий от dimon555 16.06.12 01:54:25 MSK

 root     13543  0.0  0.0   4172   792 ?        Ss   01:03   0:00 /usr/sbin/sshd
root     14642  0.0  0.1   6012  1384 ?        S    04:02   0:00 crond
root     14643  0.0  0.0   2504   972 ?        Ss   04:02   0:00 /bin/bash /usr/bin/run-parts /etc/cron.daily
root     15085  0.0  0.0   2252   628 ?        S    04:02   0:00 awk -v progname=/etc/cron.daily/dnsquery progname {?????   print progname ":\n"?????   progname="";????       }????       { print; }
root     15095  0.0  0.0   1908   664 ?        Ss   04:02   0:05 klogd1
r

мыло было указано другое в файле dnsquery, я поменял его на своё, и на мыло пришли логины/пароли, я в тихом шоке :(

-bash-3.2# rpm -qf /usr/lib/popauth файл /usr/lib/popauth не принадлежит ни одному из пакетов -bash-3.2# rm /usr/lib/popauth

openmsk
(16.06.12 08:42:45 MSK) автор топика

Я не знаю откуда начинать искать проблему.

1) Спроси у провайдера, что именно нехорошего делает твой сервер. Что-то же им показалось подозрительным. И ищи то же самое

2) Harald полностью прав

3) уже на копию в виртуалке натрави rkhunter, проверь контрольные суммы пакетов ( debsums, rpm -qV )

router ★★★★★
(16.06.12 09:05:19 MSK)

Ссылка

Ответ на: комментарий от openmsk 16.06.12 08:42:45 MSK

rm /usr/lib/popauth

я помню тоже удалил такой файл, это было зря, его нужно было оставить для исследования))

dimon555 ★★★★★
(16.06.12 16:36:48 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	мониторинг загруженности ядер выборочно

Admin

Не стартует MySQL

→

Похожие темы