Подозрение на взлом VDS

подозрение на взлом

1

5

Привет, LOR.

Есть вот такая вот VDS'ка...

[root@server ~]# cat /etc/redhat-release 
CentOS release 5.7 (Final)
[root@server ~]# uname -a
Linux srv.domain.ru 2.6.18-274.18.1.el5.028stab098.1 #1 SMP Sat Feb 11 15:30:41 MSK 2012 x86_64 x86_64 x86_64 GNU/Linux

И на ней наблюдается вот такое поведение:

[root@server ~]# ps aux | grep ssh
root      1460  0.0  0.0  66044  1552 ?        S    09:15   0:00 /bin/bash /etc/rc3.d/S55sshd start
root      1467  0.0  0.1  60564  2364 ?        S    09:15   0:00 /usr/sbin/sshd
root      1507  0.0  0.0  62656  1216 ?        Ss   09:15   0:00 /usr/sbin/sshd
root      1588  0.0  0.0  63252   848 pts/2    R+   09:45   0:00 grep ssh

[root@server ~]# service sshd stop
Останавливается sshd:                                      [  OK  ]

[root@server ~]# ps aux | grep ssh
root      1460  0.0  0.0  66044  1552 ?        S    09:15   0:00 /bin/bash /etc/rc3.d/S55sshd start
root      1467  0.0  0.1  60564  2364 ?        S    09:15   0:00 /usr/sbin/sshd
root      1605  0.0  0.0  63252   844 pts/2    R+   09:45   0:00 grep ssh

[root@server ~]# service sshd status
openssh-daemon остановлен

[root@server ~]# lsof | grep ssh
S55sshd 1460  root  cwd       DIR               0,44    4096 102009909 /
S55sshd 1460  root  rtd       DIR               0,44    4096 102009909 /
S55sshd 1460  root  txt       REG               0,44  768664 107185686 /bin/bash
S55sshd 1460  root  mem       REG              253,1         107185686 /bin/bash (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         107381915 /lib64/ld-2.5.so (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         107382022 /lib64/libtermcap.so.2.0.8 (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         107381978 /lib64/libdl-2.5.so (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         107381962 /lib64/libc-2.5.so (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         113026639 /usr/lib/locale/locale-archive (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         112168830 /usr/lib64/gconv/gconv-modules.cache (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         107382026 /lib64/libnss_files-2.5.so (path dev=0,44)
S55sshd 1460  root    0u      CHR                1,3         107381895 /dev/null
S55sshd 1460  root    1u      CHR                1,3         107381895 /dev/null
S55sshd 1460  root    2u      CHR                1,3         107381895 /dev/null
S55sshd 1460  root  255r      REG               0,44    3414 107186528 /etc/rc.d/init.d/sshd

На одном из портов (14202), висит некий сервис, который не виден нетстатом на VDS, но виден при сканировании nmap'ом.

У меня приступ паранойи или это таки взлом? Что ещё можно проверить в системе, что бы понять, что эта штука делает?

Спасибо.

Ссылка

←	Copy-Past considered harmful

xtables

→

я не спец, но подумалось...

cat /etc/passwd на предмет новых пользователей

+ сменить текущие пароли.

bvn13 ★★★★★
(10.04.13 09:54:32 MSK)

Ответ на: комментарий от bvn13 10.04.13 09:54:32 MSK

VDS будет переустановлен. Пока что, интересно, сталкивался ли кто-то с подобным? Может быть это и не взлом, а просто глюк SSH? Гугл на эти вопросы ответов не даёт.

kp ★
(10.04.13 10:15:20 MSK) автор топика

Ответ на: комментарий от kp 10.04.13 10:15:20 MSK

а что в файле /etc/rc3.d/S55sshd? и проверь он принадлежит какому то пакету или сам по себе?

зы: не спеши все сносить или сделай бэкап всей системы, бо если все таки проломили лучше узнать как, иначе проломят второй раз

зыы: вроде в ссх есть фича когда он оставляет старые ссх сессии на рестарте, а ты ж туда ссх зашел? попробуй с консоли зайти и проверить

Skolotovich ★★★
(11.04.13 10:52:02 MSK)

Ответ на: комментарий от Skolotovich 11.04.13 10:52:02 MSK

а что в файле /etc/rc3.d/S55sshd? и проверь он принадлежит какому то пакету или сам по себе?

С самим файлом всё было в порядке, сравнивал его с таким же файлом с нескольких других серверов.

зы: не спеши все сносить или сделай бэкап всей системы, бо если все таки проломили лучше узнать как, иначе проломят второй раз

Увы, клиент уже снёс и сделал реинсталл.

зыы: вроде в ссх есть фича когда он оставляет старые ссх сессии на рестарте, а ты ж туда ссх зашел? попробуй с консоли зайти и проверить

Заходил я с ноды, не напрямую по SSH, потому так смело sshd и останавливал. При остановке sshd, процесс в любом случае продолжал висеть.

kp ★
(11.04.13 11:20:40 MSK) автор топика

Ответ на: комментарий от kp 11.04.13 11:20:40 MSK

Заходил я с ноды, не напрямую по SSH, потому так смело sshd и останавливал. При остановке sshd, процесс в любом случае продолжал висеть.

и ты уверен что никто не кроме тебя ссх не пользовал? или что не осталось где то висеть ссх сессии?

очень похоже на фичу ссх, но к сожалению пруфов на эту фичу найти не могу ):

Skolotovich ★★★
(11.04.13 13:53:48 MSK)

Ответ на: комментарий от Skolotovich 11.04.13 13:53:48 MSK

100% не было никого кроме меня. Сессии тоже вряд ли могли остаться, VDS я осматривал и сразу же после ребута, этот процесс уже там висел, при том что sshd из автозапуска уже был убран.

kp ★
(11.04.13 15:51:38 MSK) автор топика