Поломали сервер

0

2

Здравствуйте нашёл руткит на сайте решил проверить не оставили ли где ещё какую бяку. Где нашёл выковырял, но есть ещё кое-что.

Волнуюсь на создали ли лишнего пользователя. Так как с системой знакомиться стал недавно прошу помощи. Вот список из passwd.

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash

И ещё проверил chkrootkit он ругнулся на следующее

hing for suspicious files and dirs, it may take a while...
/usr/lib/.libgcrypt.so.11.hmac
/usr/lib/perl5/5.8.8/i386-linux-thread-multi/.packlist
/usr/lib/.libfipscheck.so.1.1.0.hmac
/usr/lib/.libfipscheck.so.1.hmac
/lib/.libcrypto.so.6.hmac
/lib/.libssl.so.6.hmac
/lib/.libssl.so.0.9.8e.hmac
/lib/.libcrypto.so.0.9.8e.hmac

Что с этим делать?

Ссылка

←	[Большой Брат] Browser Tracking

[tcpflow] расшифровка пакетов

→

> нашёл руткит

на сайте

passwd нормальный. к слову, если порутали, ничего не спасет. chkrootkit на точки указал.

uspen ★★★★★
(16.10.11 16:49:11 MSK)

Так как на ЛОРе все телепаты, и все знакомы с вашей системой, то могу предположить, что лишняя строчка

root:x:0:0:root:/root:/bin/bash

Mr_Alone ★★★★★
(16.10.11 17:05:54 MSK)

Ссылка

только переустановить систему с нуля

Harald ★★★★★
(16.10.11 17:06:44 MSK)

Ссылка

Ответ на: комментарий от uspen 16.10.11 16:49:11 MSK

Фу, блин. Ночью не спал, соображалось(ется) плохо. Shell я нашёл, конечно, shell. А потом ещё кое-какие следы вмешательства всплыли.

Про точки я понял. Но он же больше ни на какие файлы с точками не ругался. Мне интересно хотя бы отдалённо понять, нужны ли эти файлы. Точнее, может ли их содержимое, например модифицированное, как-то представлять прямую опасность. Всё, что нашёл про них вертится около «HMAC hash value for a large data file». Если всё так, то думаю нет поводов для беспокойств, на счёт них.

ManM
(16.10.11 17:21:28 MSK) автор топика

Ответ на: комментарий от ManM 16.10.11 17:21:28 MSK

нет бы сказать дистрибутив хотябы, не говоря про то что заметил и т.д. фу тебе помогать.

uspen ★★★★★
(16.10.11 17:23:35 MSK)

Ответ на: комментарий от uspen 16.10.11 17:23:35 MSK

Server security information Server software: Apache/2.2.3 (CentOS) Loaded Apache modules: core, prefork, http_core, mod_so, mod_auth_basic, mod_auth_digest, mod_authn_file, mod_authn_alias, mod_authn_anon, mod_authn_dbm, mod_authn_default, mod_authz_host, mod_authz_user, mod_authz_owner, mod_authz_groupfile, mod_authz_dbm, mod_authz_default, util_ldap, mod_authnz_ldap, mod_include, mod_log_config, mod_logio, mod_env, mod_ext_filter, mod_mime_magic, mod_expires, mod_deflate, mod_headers, mod_usertrack, mod_setenvif, mod_mime, mod_dav, mod_status, mod_autoindex, mod_info, mod_dav_fs, mod_vhost_alias, mod_negotiation, mod_dir, mod_actions, mod_speling, mod_userdir, mod_alias, mod_rewrite, mod_proxy, mod_proxy_balancer, mod_proxy_ftp, mod_proxy_http, mod_proxy_connect, mod_cache, mod_suexec, mod_disk_cache, mod_file_cache, mod_mem_cache, mod_cgi, mod_version, mod_php5, mod_proxy_ajp Disabled PHP Functions: none cURL support: enabled Supported databases: MySql (5.0.77)

Readable /etc/passwd: yes [view] Readable /etc/shadow: no OS version: Linux version 2.6.18-238.9.1.el5.028stab089.1 (root@rhel5-build-x64) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-46)) #1 SMP Thu Apr 14 14:06:01 MSD 2011 Distr name: CentOS release 5.5 (Final) Kernel \r on an \m

Userful: ld, make, php, perl, python, tar, gzip, bzip2, locate Danger: chkrootkit, iptables Downloaders: wget, lynx, curl

ManM
(16.10.11 19:29:01 MSK) автор топика

Ссылка

Ответ на: комментарий от uspen 16.10.11 17:23:35 MSK

Съелось форматирование :(

Это о системе было.
Нашёл:
webshell.NAA
в корне сайта
2шт phpmyadmin
1 adminner
1 jsys.php Joomla System Utils естественно без пароля к получению данных
2 файла с вызовом phpinfo
В админке сайта по максимуму отключена безопасность (MODx)

и логи 5-20 мб с неудачными подключениями по ssh Силно похожие на брутфорс.

ManM
(16.10.11 19:32:07 MSK) автор топика

Ссылка

Ответ на: комментарий от uspen 16.10.11 17:23:35 MSK

Не ругайтесь, я не расчитывал на такую масштабную помощь. :) Про лишнюю строку улыбнуло.

ManM
(16.10.11 19:35:45 MSK) автор топика

Ответ на: комментарий от ManM 16.10.11 19:35:45 MSK

видимо, банальщина. В логах ssh все же глянь, вломились или нет.

uspen ★★★★★
(16.10.11 21:35:04 MSK)

Ссылка

Ответ на: комментарий от ManM 16.10.11 19:35:45 MSK

> Про лишнюю строку улыбнуло.

Чего улыбнуло? Колонка «/bin/bash» разве не настораживает?

segfault ★★★★★
(17.10.11 10:31:43 MSK)

Ответ на: комментарий от ManM 16.10.11 19:35:45 MSK

>mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash

/bin/bash

Твой К.О

winddos ★★★
(17.10.11 13:25:19 MSK)

Ответ на: комментарий от segfault 17.10.11 10:31:43 MSK

Я сейчас анекдот расскажу. Я web программист. Договариваюсь я на доработку сайта. В процессе он говорит что у него только SFTP. А когда до дела дошло, то он прислал рутовый пароль, вот говорит, тебе пароль от SFTP. А ещё этот пароль достался не только мне, но ещё и «раскрутчикам». Так что /bin/bash меня смущает меньше всего.

ManM
(17.10.11 13:32:44 MSK) автор топика

Ответ на: комментарий от winddos 17.10.11 13:25:19 MSK

А что туда вписать надо?

ManM
(17.10.11 13:34:50 MSK) автор топика

Ответ на: комментарий от ManM 17.10.11 13:34:50 MSK

У юзера mysql не может быть баша, по крайней мере ни в одном дистрибутиве по умолчанию ему его никто не дает.
А значит, очень вероятно, что кто то сделал это руками.

Т.е тебе нужна помощь квалифицированного админа, который переустановит систему и настроит все так, чтобы взлом не повторился.

winddos ★★★
(17.10.11 13:54:14 MSK)

Ссылка

Ответ на: комментарий от ManM 17.10.11 13:32:44 MSK

Да... эпичный хостинг. Но раз не вы - админ, то и не вам стоит волноваться.

segfault ★★★★★
(17.10.11 15:13:52 MSK)

Ответ на: комментарий от ManM 17.10.11 13:34:50 MSK

grep mysql /etc/passwd
mysql:x:27:27:mysql:/dev/null:/sbin/nologin

И в /etc/shadow для юзера mysql вместо хэша, или пустого места вставить *.

imul ★★★★★
(17.10.11 19:23:04 MSK)

Total reinstall from the scratch, админчик.

It's almost impossible to ensure your system is malware free after it's been hacked into unless you are God himself.

~~juk4windows~~ ★
(17.10.11 23:57:07 MSK)

Ссылка

Ответ на: комментарий от imul 17.10.11 19:23:04 MSK

Спасибо. В shadow mysql юзер заблокирован (!!). Тему закрываю. Я, пожалуй, больше ни чего сделать не смогу.

ManM
(18.10.11 01:44:21 MSK) автор топика

Ссылка

Ответ на: комментарий от segfault 17.10.11 15:13:52 MSK

Ну я взялся по нескольким причинам.
1. Меня попросили, и, возможно, за возню капнет профит. (скорее всего, в общем-то)
2. Оставлять ярко выраженные дырки не хочется. Если сайт опять исковеркают в самом ближайшем будущем совсем мне не на руку. А когда возьмут полноценного админа.. Я опасаюсь, что как обычно в нашей стране это событие будет связано с агрессивными действиями самца курообразных, прошедшего высокотемпературную обработку.
3. Мне и самому интересно повозиться. :) Знания, опыт и всё такое.

В общем так. Логи почитал вроде чисто. Ни чего подозрительного. В логах SSH тоже вроде порядок. в shadow у всех юзеров, кроме рута в графе пароли либо (!!), либо *.

Про то что нет ни каких гарантий, что самое надёжное переставить систему, понял, и передал заказчику.

Всем вам большое спасибо за советы и за помощь. Очень выручили.