LINUX.ORG.RU
ФорумSecurity

Меня поломали

 ,


0

7

VPS на gentoo: 

Linux server1 4.1.5-x86_64-linode61 #7 SMP Mon Aug 24 13:46:31 EDT 2015 x86_64 Intel(R) Xeon(R) CPU E5-2670 0 @ 2.60GHz GenuineIntel GNU/Linux
gentoo

Nginx: Installed versions:  1.8.0

Захожу значит на сервер добавить хост а там root:root /var/www/blabla.ru в то время как все с правами nginx:nginx, кроме php-myadmin которая тоже с root правами.

Иду в /etc/nginx/sites/ и вижу там прописанный данный сайт!

Я знаю что у меня пару тройку сайтов дырявые! Нок КАК удалось создать это все да еще с правами root???

chkrootkit ниче не показал.

Что делать как быть?


IPTABLES открыть FTP
Собираюсь взять токен со встроенной криптографией
Показаны ответы на комментарий. Показать все комментарии.
Ответ на: комментарий от karaien

Как ее использовать? И каким боком то это дыра?

Как в эту дыру попасть не зная логина?

ЗЫ. тут кое че в логах нарыл 

 77.222.40.115 - - [28/Oct/2015:10:16:02 +0300] «POST /wp-includes/js/tinymce/plugins/wpgallery/model.php HTTP/1.1» 200 8403 "-" «Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)» 77.222.40.115 - - [28/Oct/2015:10:16:30 +0300] «POST /wp-includes/js/tinymce/plugins/wpgallery/model.php HTTP/1.1» 200 7107 "-" «Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)» 77.222.40.115 - - [28/Oct/2015:10:16:59 +0300] «POST /wp-includes/js/tinymce/plugins/wpgallery/model.php HTTP/1.1» 200 6650 "-" «Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)»

Это первые запросы которые были после создания данного домена в логах nginx-а

beerdy
() автор топика
Ответ на: комментарий от beerdy

Все ясно. С этой обфускацией каждый день встречаюсь - там шелл. Но это не связано на прямую со взломом.

Что говорит

exim -bpc ?

int13h ★★★★★
()
Ответ на: комментарий от int13h

он не стоит. Но. В попытке рассылки спама учавствуют 4-ре сайта. все функции работы с почтой отключены

beerdy
() автор топика
Ответ на: комментарий от beerdy

rkhunter запусти

http://habrahabr.ru/company/first/blog/242865/

Фигня, конечно, но иногда кажет что-либо.

Ну, и у нас любят всякие

https://revisium.com/ai/

Типа греп на стеройдах. Хотя можешь погрепать по base64 , eval и тп.

int13h ★★★★★
()
Последнее исправление: int13h (всего исправлений: 1)
Ответ на: комментарий от int13h

У меня на этом и прокололись. Время модификации было старое, файл не попал в бекап

arkadij-smirnov
()
Ответ на: комментарий от beerdy

root нужно получить ведь - а у меня собственно и вопрос как такто?

ЗЫ если конечно я его сам незапустил...

beerdy
() автор топика
Ответ на: комментарий от murmur

конечно, если настроено все нормально. beerdy Давай сюда конфиги свои

murmur
()
Ответ на: комментарий от karaien

Сервер httpd работает от apache - 

root      2327  0.0  1.0 592320 19928 ?        Ss   13:56   0:00 /usr/sbin/httpd -DFOREGROUND
apache    2329  0.0  0.4 592452  8992 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2330  0.0  0.4 592452  8992 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2331  0.0  0.4 592452  8992 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2332  0.0  0.4 592452  8992 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2333  0.0  3.6 615404 68004 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2334  0.0  1.8 598740 35456 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2336  0.0  0.4 592452  7748 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2339  0.0  1.1 697256 20804 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2340  0.0  0.4 592452  7748 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2342  0.0  0.4 592452  8244 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND

Вопрос - как он сможет что-то записать в /etc ? =)

int13h ★★★★★
()
Ответ на: комментарий от int13h

У beerdy nginx, и по его словам «кроме php-myadmin которая тоже с root правами» я понимаю что хост php-myadmin.blabla.ru работает от рута.

А так да, надо смотреть конфиги, иначе єто гадание на кофейной гуще.

karaien ★★
()
Ответ на: комментарий от karaien

У beerdy nginx,

Какая разница, какой веб сервер - apache/lighttpd/blackhttpd/nginx + php-fpm - в любом случае он запущен от пользователя, который не должен ничего писать в системные каталоги.

int13h ★★★★★
()
Ответ на: комментарий от int13h

У меня как минимум один клиент в месяц, который все поднимет под рутом, а потом удивляется «А почему у меня IP в спам базах и почта не доходит?».

karaien ★★
()
Ответ на: комментарий от karaien

и по его словам «кроме php-myadmin которая тоже с root правами»

Да, верно - владелец root. Вы же его и ставите 

yum install phpmyadmin


Установленные пакеты
Название: phpMyAdmin
Архитектура: noarch
Версия: 4.4.15.1
Выпуск: 1.el7
Объем: 22 M
Источник: installed
Из источника: epel
Аннотация: Handle the administration of MySQL over the World Wide Web
Ссылка: https://www.phpmyadmin.net/
Лицензия: GPLv2+ and MIT and BSD
Описание: phpMyAdmin is a tool written in PHP intended to handle the administration of
        : MySQL over the World Wide Web. Most frequently used operations are supported
        : by the user interface (managing databases, tables, fields, relations, indexes,
        : users, permissions), while you still have the ability to directly execute any
        : SQL statement.
        : 
        : Features include an intuitive web interface, support for most MySQL features
        : (browse and drop databases, tables, views, fields and indexes, create, copy,
        : drop, rename and alter databases, tables, fields and indexes, maintenance
        : server, databases and tables, with proposals on server configuration, execute,
        : edit and bookmark any SQL-statement, even batch-queries, manage MySQL users
        : and privileges, manage stored procedures and triggers), import data from CSV
        : and SQL, export data to various formats: CSV, SQL, XML, PDF, OpenDocument Text
        : and Spreadsheet, Word, Excel, LATEX and others, administering multiple servers,
        : creating PDF graphics of your database layout, creating complex queries using
        : Query-by-example (QBE), searching globally in a database or a subset of it,
        : transforming stored data into any format using a set of predefined functions,
        : like displaying BLOB-data as image or download-link and much more...

Получается даже, что это системный компонент, а не хост, по логике ментейнеров:

/etc/httpd/conf.d/phpMyAdmin.conf

Хотя в битриксе он ставится как хост - но это мелочи.

int13h ★★★★★
()
Ответ на: комментарий от karaien

Еще есть вариант с криво настроенным sudo, трюки з симлинками и куча всего остального.

В его ситуации исключим - там VPS от хостера, не думаю, что все так дыряво.

int13h ★★★★★
()
Ответ на: комментарий от karaien

Я все это к тому - что поломали товарища не из-за его дырявых сайтиков, а из-за чего-то другого. К примеру, слабого пароля или из-за кейлоггера на его компе - наверное там Windows.

Я видел более печальную картину. У одного товарища был putty на windows, c которой он ходил на сервера. И стоял там кейлоггер, как потом выяснилось, - все сервера через некоторое время начали рассылать спам, были поломаны.

int13h ★★★★★
()
Ответ на: комментарий от int13h

Тоже вариант. Где-то видел статью о поломаном тоталкомандере и файлзилле, которые пересылали пароли к ftp.

karaien ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
IPTABLES открыть FTP
Security
Собираюсь взять токен со встроенной криптографией