Как неучу узнать откуда дует?

0

4

Поимели меня уже дважды:

Пришел абуз от хетцнера

Точнее, мои ресурсы не пострадали. Просто с моего впс идет брутфорс разного.

Что я делал в первый раз?
1. Заказал новый впс (дебиан ламп + вебмин).
2. Зашел на него с проверенного на вирусную\трояны компа. Из другого браузера.
3. Накатил все абдейты (из реп хетцнера)
4. Удалил кучу всего. В первую очередь - мускуль и пыхпыхмойадмин.
5. Удалил лишние модули вебмина.
6. Перенес файлы, обновил ДНСы.

Помогло ненадолго.

По моей крестьянской логике получается, что:
а) либо косяк именно в моих скриптах (один сайт все же рнр, хотя и без обмена данными, без регистрационных форм, без любого интерактива, тупо инклуды кусков статичного кода).
б) либо какая-то дырка в лине\вебмине, и меня через нее имеют.

Первое - проверял.. Ну чистые файлы. И левых не вижу. И доп. директорий в апаче нет.

Второе - ну как-то маловероятно что ли.

Куда копать? Кто виноват кроме меня?)

Ссылка

←	Ограничение прав доступа к некоторым каталогам.

Как поймать сетевой процесс в состоянии TIME_WAIT

→

Incoming 16.013
Outgoing 5.917

Трафик в Гб за 5е число. это очень много.

~~dk-~~ ☆
(07.05.14 14:30:47 MSK) автор топика

Закрыть вебмин снаружи вообще, подключаться через ssh-туннель к нему. Нафига он вообще тебе нужен ты что не можешь конфиг вхоста в апаче сам составить? Если тебе динамики не надо смотри SSI (Server Side includes) древность конечно но для кусков текста подходит.

hidden_4003 ★
(07.05.14 14:31:39 MSK)

А вот если впс был бы под windows...

anonymous
(07.05.14 14:31:49 MSK)

Ссылка

Куда копать?

0. Поменять пароли от всего (впс, ssh, почта, и т.д.)
1. Читать логи всего, что можно. Искать когда и как повесили зловреда, как зашли. Включить больше логов, если потребуется. Логировать подозрительный траффик (iptables -j LOG).
2. Искать зловреда, гуглить по названию файлов.
3. «Чистый» комп, с которого ходишь на впс, он с виндой или линуксом? Если с виндой, то снести винду, поставить линукс.

ddos3 ★
(07.05.14 14:33:02 MSK)

Ответ на: комментарий от ddos3 07.05.14 14:33:02 MSK

0. Уже. Сразу
1. Не умею.
2. Не знаю.
3. Виртуалка с виндой. Хост система предварительно была проверена.

~~dk-~~ ☆
(07.05.14 14:36:21 MSK) автор топика

Ответ на: комментарий от dk- 07.05.14 14:36:21 MSK

Не умею. Не знаю.

Найти того, кто умеет и знает. Тут аналитики с ЛОРа не помогут.

Виртуалка с виндой. Хост система предварительно была проверена.

Пару лет назад натыкался на зловреда, который моментально заражал новые виндовые машины в локалке, не ловился антивирусами и воровал пароли от ftp (после чего менял html-файлы на ftp, вставляя фреймы с drive-by заразой).

ddos3 ★
(07.05.14 14:42:20 MSK)

Ссылка

5. Удалил лишние модули вебмина.

Правильно так: «удалил вебмин»

6. Перенес файлы, обновил ДНСы.

У апача есть право на запись в эти файлы и каталоги?

sin_a ★★★★★
(07.05.14 14:44:34 MSK)

Ссылка

не. юзай. вебмин. и. парольный. вход.
Только ssh, только ключи.

Через трой в твоей винде все эти доступы наверняка и уводят снова и снова.

tazhate ★★★★★
(07.05.14 14:45:51 MSK)

Ссылка

Зашел на него с проверенного на вирусную\трояны компа.

И проверял ты его конечно же каким-нибудь антивирусом, да?

edigaryev ★★★★★
(07.05.14 14:51:12 MSK)

Ответ на: комментарий от edigaryev 07.05.14 14:51:12 MSK

Проверять надо форматированием раздела и забиванием в него рандома.

maverik ★★
(07.05.14 15:01:04 MSK)

Ты не выполнил рекомендации с прошлого раза и опять пришел жаловаться на ту же проблему?

kernelpanic ★★★★★
(07.05.14 15:04:52 MSK)

Ссылка

Давайте посмотрю, если вы не против. Напишите мне на почту iam@valdikss.org.ru

ValdikSS ★★★★★
(07.05.14 15:39:17 MSK)

Ссылка

дырка в вебмине

маловероятно

Ясно.

Ip0 ★★★★
(07.05.14 15:43:33 MSK)

Ссылка

Смотреть утилиты *top и логи(апача, баш и тд). Как уже советовали сноси вебмин, ставь ключи на ssh. Посмотри какие сервисы торчат в интернет. Проверь пароль от личного кабинета на хостинге, от фтп, от всего что как-то связано с виртуалкой. Также проверь права на каталоги.

Erfinder ★
(07.05.14 16:15:24 MSK)
Последнее исправление: Erfinder 07.05.14 16:16:39 MSK (всего исправлений: 1)

Ссылка

тебе надо было выполнить только п.6:

6. Перенес файлы, обновил ДНСы

всё остальное - НЕ устанавливать. Никаких вебминов и прочего мусора. Просто сделай так, чтобы твои сайты на чистой системе заработали - И ВСЁ.

reprimand ★★★★★
(07.05.14 16:20:02 MSK)

Ссылка

Кстати а файлы перед переносом проверил?

Erfinder ★
(07.05.14 16:27:54 MSK)

Ответ на: комментарий от Erfinder 07.05.14 16:27:54 MSK

Да.
Пусто.

~~dk-~~ ☆
(07.05.14 16:35:09 MSK) автор топика

Ссылка

Как неучу узнать откуда дует?

Находишь еще нескомпрометированный компьютер, качаешь с него какой-нибудь Live CD с линуксом (например, http://www.kali.org/) и записываешь его на DVD или флешку.
Загружаешься, меняешь пароли во всех местах, как-то связанных с VPS (хостинг, почта, etc.)
Выполняешь шаги с 3 по 6 включительно (делаешь все точно так же, как делал до этого)

Если ты сделал все правильно и после этого сервер опять поломают — проблема скорее всего не в винде, иначе — нутыпонял, виндузятники должны страдать.

edigaryev ★★★★★
(07.05.14 16:51:13 MSK)
Последнее исправление: edigaryev 07.05.14 16:51:35 MSK (всего исправлений: 1)

вебмин

Отвыкай лучше от этого.

один сайт все же рнр

А остальные на чём?

MrClon ★★★★★
(07.05.14 21:03:29 MSK)

Тебе еще в прошлый раз говорили - найми человека, тебе не поможет смена паролей и остальное. Это настолько не твое, что ты воду в решете носишь, считая его ведром. У тебя не просто непонимание основ, а неправильное их понимание. Не в обиду, я вот панораму один раз в жизни делал - так не сообразил даже что с одной точки снимать надо. Каждому свое. Найми человека.

handbrake ★★★
(07.05.14 21:53:38 MSK)

Ссылка

Кейлогер или ещё какая-нибудь дрянь на клиентском компе, с которого заходил на vps в обоих случаях.

Jurik_Phys ★★★★★
(07.05.14 21:56:59 MSK)

Ссылка

Не админь Linux через оффтопик (вообще его исключи из процесса, как в виртуалке, так и на хосте). Скорее всего кейлоггер в винде увёл твой пароль на сервере, а люди добрые постарались и сделали всё остальное.

peregrine ★★★★★
(07.05.14 21:59:00 MSK)

Ссылка

Ответ на: комментарий от dk- 07.05.14 14:30:47 MSK

фигня, у тебя может голой жопой наружу торчать тухлый NTP (http://habrahabr.ru/post/209438/) или bind (http://habrahabr.ru/post/51574/)

причем судя по относительно небольшому исходящему, может оказаться что сервисы настроены правильно, но юзаются ботами автоматически (хоть ничего и не усиливают)

Deleted
(07.05.14 22:02:11 MSK)

Ссылка

Ответ на: комментарий от hidden_4003 07.05.14 14:31:39 MSK

~~dk-~~, прислушайся. крайне дельный совет. вебмин остается в той конфигурации, какой хочешь. но торчать он будет не наружу, а внутрь. для того чтобы достучатся до него предварительно подымается ssh-туннель. для ssh’а разрешить вход только по ключах и перевесить его на другой порт.

ZuBB ★★★★★
(07.05.14 22:20:09 MSK)

Ответ на: комментарий от MrClon 07.05.14 21:03:29 MSK

Даже тот, что «на рнр» на самом деле 100% статик хтмл. Просто пых пух инклудами собирает его кусками.

~~dk-~~ ☆
(07.05.14 23:57:31 MSK) автор топика

Ответ на: комментарий от ZuBB 07.05.14 22:20:09 MSK

да, буду разбираться делать так.

или кого-то нанимать.

~~dk-~~ ☆
(07.05.14 23:58:48 MSK) автор топика

либо какая-то дырка в лине\вебмине, и меня через нее имеют.

удали нафиг вебмин.

emulek ★
(08.05.14 00:12:37 MSK)

Ссылка

Ответ на: комментарий от dk- 07.05.14 14:36:21 MSK

1. Не умею. 2. Не знаю.

а изучить матчасть не судьба, да? Тогда у меня для тебя плохие новости...

emulek ★
(08.05.14 00:14:07 MSK)

Ссылка

Ответ на: комментарий от maverik 07.05.14 15:01:04 MSK

Проверять надо форматированием раздела и забиванием в него рандома.

быстрее /dev/zero забивать.

emulek ★
(08.05.14 00:15:10 MSK)

Ссылка

Ответ на: комментарий от edigaryev 07.05.14 16:51:13 MSK

Находишь еще нескомпрометированный компьютер, качаешь с него какой-нибудь Live CD

да можно и заражённом загрузить http://www.slax.org

emulek ★
(08.05.14 00:17:06 MSK)

Ссылка

Ответ на: комментарий от dk- 07.05.14 23:57:31 MSK

Просто пых пух инклудами собирает его кусками.

многие зловреды в index.php своё дерьмо приписывают. Тут достаточно одной таблетки.

emulek ★
(08.05.14 00:19:41 MSK)

Ссылка

Ответ на: комментарий от dk- 07.05.14 23:57:31 MSK

Чего там вообще крутится?

MrClon ★★★★★
(08.05.14 00:33:54 MSK)

Ссылка

Ответ на: комментарий от dk- 07.05.14 23:58:48 MSK

и, да я бы пересоздал vps и все данные на нем работая из под любого linux live cd. дабы немножко увеличить шансы

ZuBB ★★★★★
(08.05.14 00:41:04 MSK)

Ссылка

А что это вообще значит?

May  9 11:17:01 www-77 /USR/SBIN/CRON[23247]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
May  9 11:39:01 www-77 /USR/SBIN/CRON[23368]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -ignore_readdir_race -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)
May  9 12:09:01 www-77 /USR/SBIN/CRON[23550]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -ignore_readdir_race -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)
May  9 12:17:01 www-77 /USR/SBIN/CRON[23748]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)

~~dk-~~ ☆
(09.05.14 14:38:33 MSK) автор топика