Очень много исходящего трафика, CentOS

1

2

Привет всем. Сразу сорри за вопрос, но знания по теме не очень глубоки, мб кто что подскажет. В общем, суть такая. На днях мою впс под CentOS заблокировал хостер, сообщил, что у меня превышение по трафику (1ТБ в месяц). ВПС я купил в начале месяца, установил ISPmanager LIte (прошлую вресию, не новую бету), запилил самый простой сайт на PHP и все. Никакого превышения нету 100%. Админ сказал, что возможно сервер мой сломали. Ну я полез в логи, особо я не разбираюсь, нашел единственное что был жесткий подбор доступа к SSH. Т.е. рандомно запрашивались разные логины типо «john», «theresa» + пароли, с каких-то малазийский ИП адресов. Мне кажется, такой брут не мог бы стать причиной такого большого количество исходящего трафика. В среднем по статистике у меня было порядка 600-700кбит\с. Самый макс 33 мбит\с. Я вообще подумал, что это ддос и подрубил антиддос сервис. Пока все ок, исходящий траф на уровне 30-40кб\с. Ну и собственно вопросы у меня такие: 1) Что это могло быть? Куда мне смотреть в логах (дайте плз названия файлов, а то в /var/log/ целая куча логов, часть которых vi даже не отображает правильно)? 2) То что сейчас 40 кб\с исходящего это нормально?

Вроде все. Спасибо за ответы)

Ссылка

←	Ни единого разрыва

Squid+sams-1.0.5

→

Если в результате брутфорса был подобран логин и пароль и осуществлён вход в систему, тем более с правами супер пользователя, то система могла быть использована как площадка для проведения дальнейшей атаки на какой-либо хост, рассылки спама, да чего угодно, тем более с root доступом логи могли и почистить.

Если есть backup, то разворачивайте его. Ну и смените стандартный порт ssh сервера и выставьте ограничение на число попыток авторизации за некоторый период времени.

kostik87 ★★★★★
(24.12.13 00:26:56 MSK)

Ответ на: комментарий от kostik87 24.12.13 00:26:56 MSK

Спасибо, я правильно понял, что если меня взломали, то я увижу пользователя через cat /etc/passwd? У меня выдало кучу их, подскажите плз, кто из них с правами суперпользователя, а кто нет?

[root@408006 ~]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
distcache:x:94:94:Distcache:/:/sbin/nologin
dovecot:x:97:97:dovecot:/usr/libexec/dovecot:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash
mrgtryu:x:500:502:mrgtryu:/var/www/mrgtryu/data:/bin/date
virtuser_501:x:501:502::/var/www/mrgtryu/data/email/mysite.org/mail:/sbin/nologin

MrCentOs
(24.12.13 01:16:42 MSK) автор топика

Ответ на: комментарий от MrCentOs 24.12.13 01:16:42 MSK

Мальчик, кто тебя подпустил к настоящему компьютеру?

anonymous
(24.12.13 04:37:26 MSK)

Ответ на: комментарий от anonymous 24.12.13 04:37:26 MSK

Юзер купил себе сервер, кто ему должен был выписывать допуск? ССЗБ, это другой вопрос.

af5 ★★★★★
(24.12.13 07:35:32 MSK)

Ссылка

Ответ на: комментарий от MrCentOs 24.12.13 01:16:42 MSK

я правильно понял, что если меня взломали, то я увижу пользователя через cat /etc/passwd?

Нет. В идеале ты вообще ничего не увидишь.

~~drake~~ ★
(24.12.13 07:56:06 MSK)

Ссылка

во-первых - нужны графики трафика. на них должны быть в твоем случае ярко выраженные пики. вычисли в какое время они происходили и смотри логи именно за это время. может у тебя просто файлы большие кто-то качал. а чтобы не брутфорсили ssh - поставь fail2ban.

если меня взломали, то я увижу пользователя через cat /etc/passwd?

ты неправильно понял. в случае глупого взлома ты можешь увидеть лишнего пользователя, если знал какие там были до этого. но врядли это твой путь решения вопроса.

Komintern ★★★★★
(24.12.13 09:19:18 MSK)
Последнее исправление: Komintern 24.12.13 09:20:53 MSK (всего исправлений: 1)

Ссылка

установил ISPmanager LIte

вот тут-то и началось, даже подбирать пароли по ssh ненадо

anonymous
(24.12.13 09:23:50 MSK)

Ссылка

iptables -A OUTPUT --dport $port -j DROP

kukara4 ★★
(24.12.13 09:37:32 MSK)

Ссылка

Рекомендую либо пользоваться услугами хостинга, либо получить образование по теме. :)

~~ktulhu666~~ ☆☆☆
(24.12.13 10:08:29 MSK)

установил ISPmanager LIte

круто че!

подрубил антиддос сервис

убил.

vxzvxz ★★★
(24.12.13 11:16:45 MSK)

Ссылка

Ответ на: комментарий от kostik87 24.12.13 00:26:56 MSK

Ну и смените стандартный порт ssh сервера

Лишний ненужный гемор.

и выставьте ограничение на число попыток авторизации за некоторый период времени.

Этого вот достаточно. А где недостаточно, и другой порт не спасёт.

AS ★★★★★
(24.12.13 18:33:59 MSK)

Ответ на: комментарий от ktulhu666 24.12.13 10:08:29 MSK

Рекомендую либо пользоваться услугами хостинга, либо получить
образование по теме. :)

Только не хостинга, а специально нанятого человека. :-) Хотя, если хостер отдельно такую услугу предоставляет, то да, вариант.

AS ★★★★★
(24.12.13 18:36:16 MSK)

Ссылка

Ответ на: комментарий от AS 24.12.13 18:33:59 MSK

Лишний ненужный гемор.

Ну если для вас трудно раскомментировать одну строку, ввести в ней число и перезапустить ssh сервер, то для вас вообще Linux в целом должен быть очень сложен.

Этого вот достаточно. А где недостаточно, и другой порт не спасёт.

Мер повышения безопасности ни когда достаточно не бывает, чем их больше, тем лучше.

Другой порт, ограничение числа попыток авторизации, возможно вообще отключение входа по связке login + password, а вход только с использование ключей, позволит обезопасить систему лучше.

Но вы можете делать как хотите.

kostik87 ★★★★★
(25.12.13 09:01:40 MSK)

Ответ на: комментарий от kostik87 25.12.13 09:01:40 MSK

Ну если для вас трудно раскомментировать одну строку

Нет. Но вот помнить для сотни хостов - да. И писать лишние параметры при запуске - тоже да.

Мер повышения безопасности ни когда достаточно не бывает, чем их больше, тем лучше.

Смена порта - это фикция, а не мера. Защитой это может считать только всякая школота.

AS ★★★★★
(25.12.13 10:01:44 MSK)

Ответ на: комментарий от AS 25.12.13 10:01:44 MSK

Ещё раз, важны меры в комплексе. Безусловно те, кто поставит задачу взломать систему, будут учитывать и нестандартные порты. Получат список открытых портов на хосте.

Можно пойти ещё дальше, порт ssh по умолчанию закрыт, что бы его открыть нужно послать определённый пакет на некоторый порт.

Вот тут уже получить доступ к ssh порту намного сложнее.

Защитой это может считать только всякая школота.

Не переживай, у тебя скоро начнутся новогодние каникулы, если уже не начались.

kostik87 ★★★★★
(25.12.13 10:17:15 MSK)

Ответ на: комментарий от kostik87 25.12.13 10:17:15 MSK

Вот тут уже получить доступ к ssh порту намного сложнее.

Если ты так хочешь спрятать ssh, просто сделай доступ с определённого списка хостов. В остальных случаях достаточно хорошего пароля (или ключа) и -m recent. Устанешь подбирать.

у тебя скоро начнутся новогодние каникулы

А у тебя нет ? В праздники работаешь ? Бывает...

AS ★★★★★
(25.12.13 11:19:45 MSK)

Ответ на: комментарий от AS 25.12.13 11:19:45 MSK

Если ты так хочешь спрятать ssh, просто сделай доступ с определённого списка хостов. В остальных случаях достаточно хорошего пароля (или ключа) и -m recent. Устанешь подбирать.

Ну а если есть необходимость подключиться с хоста, которого нет в твоём списке, например в случае экстренной ситуации ? А так, я уже ответил тебе, делай как хочешь. Я применяю комплекс мер.

А у тебя нет ? В праздники работаешь ? Бывает...

У меня начнутся выходные с 31 декабря по 9 января. Ну а у тебя значит именно каникулы, желаю закончить четверть без троек.

kostik87 ★★★★★
(25.12.13 11:31:43 MSK)

Ответ на: комментарий от kostik87 25.12.13 11:31:43 MSK

Ну а если есть необходимость подключиться с хоста, которого нет в твоём списке, например в случае экстренной ситуации ?

Я уже написал, что в этом случае.

У меня начнутся выходные с 31 декабря по 9 января.

Ну-ну...

Ну а у тебя значит именно каникулы, желаю закончить четверть без троек.

Поздно. Последняя четверть, увы, у меня закончилась в стране, которой нет на карте уже 20 лет.

AS ★★★★★
(25.12.13 11:52:02 MSK)

Ссылка

Умная мысль:

vim /etc/named.conf

вставить:

options {
recursion no;
};

Хотя бы.

dmiceman ★★★★★
(25.12.13 11:56:27 MSK)

Ответ на: комментарий от dmiceman 25.12.13 11:56:27 MSK

Умная мысль:

Тогда уж сразу давать ссылку вроде
http://www.us-cert.gov/ncas/alerts/TA13-088A

Но настолько большого потока с этого быть не должно бы...

AS ★★★★★
(25.12.13 12:02:59 MSK)

Ответ на: комментарий от AS 25.12.13 12:02:59 MSK

Нет, я просто сам на это налетел. Ну кто бы мог подумать, что ispmanager такую подлянку подложит. А поток там при атаке хороший получается.

dmiceman ★★★★★
(25.12.13 12:11:46 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Ни единого разрыва

Admin

Squid+sams-1.0.5

→

Похожие темы