|
|
blam Опытный |
Зарегистрирован: 13.03.2008
Сообщений: 240
|
Обратиться по нику
|
blam |
Ответить с цитатой | | |
|
Посыпались письма от хостера с логами, идет брутфорс с моих ip.
стоит Centos5, админю сам,
Брут обычно через php+апач идет ?
или может в centos прописался, какие действия предпринять нужно, хотя бы основные ? |
|
|
|
|
|
Бложок |
deBrain V.I.P. |
Зарегистрирован: 03.06.2010
Сообщений: 1569
|
Обратиться по нику
|
deBrain |
Ответить с цитатой | | |
|
Кто-то брутфорсит сервак на рута? Не понятно) Что брутфорсят и куда?) |
|
|
|
|
|
Правильно вкладываем свободные средства в ПАММ
Правильный хостинг: DigitalOcean
|
Saytik Опытный |
Зарегистрирован: 29.09.2010
Сообщений: 189
|
Обратиться по нику
|
Saytik |
Ответить с цитатой | | |
|
им залили скрипты, которые брутфорсят другие сервера.
первым делом проверьте папки /tmp /var/tmp на наличие сторонних скриптов под пользователем веб-сервера.
Панель управления ISPmanager случайно не используете? Если используете, проверьте чтобы версия phpmyadmin было не ниже 2.11.10.1, так как ниже версии дырявые, заливаются скрипты под пользователем веб-сервера, которые трафик жрут и наносят вред другим серверам.
Как минимум попробуйте следующее:
for i in `ps uax | grep httpd | awk '{print $2}'`;do echo $i;ls -la /proc/$i | grep exe | grep perl ;done
httpd - процессы веб-сервера от кого запускаются, может быть надо заменить на nobody или www-data или apache
команда покажет, ID процессов вебсервера и если хоть один является perl скриптом то сразу после ID укажет путь к perl.
тогда проверить где скрипт можно попробовать так
ls -la /proc/<PID>/cwd
<PID> - нужный ID процесса, который показало как перловый скрипт
установите утилиты и проверьте систему на Rootkits и clavav антивирусной программой |
|
|
|
|
|
http://Goodhoster.NET - Профессиональный надежный хостинг! (Украина, Германия)
Хостинг | ВПС | Серверы | Домены |
drg Опытный |
Зарегистрирован: 30.11.2010
Сообщений: 425
|
Обратиться по нику
|
drg |
Ответить с цитатой | | |
|
Saytik писал(а): |
установите утилиты и проверьте систему на Rootkits и clavav антивирусной программой
|
Я бы с этого начал
yum install rkhunter
И как поставите запустите под рутом rkhunter -c
Сомневаюсь, что без руткита обошлось. Если найдете руткит, просите хостера, чтобы переставил систему, сомневаюсь, что вы сами сможете избавится от руткита, по себе знаю, хитрая штука. |
|
|
|
|
|
Фарма партнерка для профессионалов и не только. 11 Языков. 7 методов оплаты |
blam Опытный |
Зарегистрирован: 13.03.2008
Сообщений: 240
|
Обратиться по нику
|
blam |
Ответить с цитатой | | |
|
Цитата: |
им залили скрипты, которые брутфорсят другие сервера.
|
да
drg, спасибо за совет
ребутнул сервак сразу, письма от робота с абузами перестали идти, может это о чемто говорит ? |
|
|
|
|
|
Бложок |
blam Опытный |
Зарегистрирован: 13.03.2008
Сообщений: 240
|
Обратиться по нику
|
blam |
Ответить с цитатой | | |
|
ISPmanager не стоит
rkhunter -c только "Checking for prerequisites [ Warning ]"
chkrootkit - ничего не нашел
for i in `ps uax | grep httpd | awk '{print $2}'`;do echo $i;ls -la /proc/$i | grep exe | grep perl ;done
нет запущенных perl скриптов
Неужели reboot помог ? |
|
|
|
|
|
Бложок |
the4gamblers Опытный |
Зарегистрирован: 16.06.2010
Сообщений: 221
|
Обратиться по нику
|
the4gamblers |
Ответить с цитатой | | |
|
Цитата: |
Неужели reboot помог ?
|
скорее всего горе хацкеры забыли добавить скрипт в автозагрузку либо тупо его запускали из веб шела без рутовых прав так что жди гостей опять поэтому ищи веб шелл и посмотри в папке tmp файлы с расширением pl
веб шел можно искать например так
Код: |
grep -Rl "r57shell|c99madshell|eval\|base64_decode" /home
|
где /home твой веб каталог
так же отсортируй в каталоге своего сайта (сайтов) файлы по времени создания тоже как вариант помогает увидеть новые файлы либо исправленные.
так же в папках с имаджами ищи файлик .htaccess
вот с такми содержанием
Код: |
AddType application/x-httpd-php .gif
|
если есть то шел значить в гифке
и вообще напиши какие cms у тебя стоят я тебе скажу где точно искать веб шел
и вообще кури маны http://dedicatesupport.com/archives/10 |
|
|
|
|
|
Деньги любят тишину... |
blam Опытный |
Зарегистрирован: 13.03.2008
Сообщений: 240
|
Обратиться по нику
|
blam |
Ответить с цитатой | | |
|
все таки отрубили основной ip (
может скан и продолжается, почистил от старых скриптов, попросил включить ip.
можно ли как нибудь помотреть откуда с моего сервера идут соеденения на 22 порт другого сервера ?
знаю только netstat |
|
|
|
|
|
Бложок |
Saytik Опытный |
Зарегистрирован: 29.09.2010
Сообщений: 189
|
Обратиться по нику
|
Saytik |
Ответить с цитатой | | |
|
Цитата: |
знаю только netstat
|
- и что? netstat -an | grep :22 - Не показывает ? |
|
|
|
|
|
http://Goodhoster.NET - Профессиональный надежный хостинг! (Украина, Германия)
Хостинг | ВПС | Серверы | Домены |
blam Опытный |
Зарегистрирован: 13.03.2008
Сообщений: 240
|
Обратиться по нику
|
blam |
Ответить с цитатой | | |
|
пока только свой ip вижу.
netstat не покажет ведь откуда идет соеденение с моего сервера к другому, если это php скрипт . |
|
|
|
|
|
Бложок |
Saytik Опытный |
Зарегистрирован: 29.09.2010
Сообщений: 189
|
Обратиться по нику
|
Saytik |
Ответить с цитатой | | |
|
Если Вы знаете, что от Вашего сервера брутфорс идет именно на 22 порт удаленного сервера, тогда просто заблокируйте исходящие соединения:
iptables -A OUTPUT -p tcp --dport 22 -j DROP
чтобы правило сохранялось при перезагрузке, надо добавить:
iptables-save > /etc/sysconfig/iptables |
|
|
|
|
|
http://Goodhoster.NET - Профессиональный надежный хостинг! (Украина, Германия)
Хостинг | ВПС | Серверы | Домены |
blam Опытный |
Зарегистрирован: 13.03.2008
Сообщений: 240
|
Обратиться по нику
|
|
|
Бложок |
drg Опытный |
Зарегистрирован: 30.11.2010
Сообщений: 425
|
Обратиться по нику
|
drg |
Ответить с цитатой | | |
|
blam, Если я не ошибаюсь, ты сам просто не сможешь никуда со своего сервака зайти по ssh, это я про совет Saytik,
Ты сделай, что он посоветовал и проверь, если сам можешь на сервак попадать, то тогда уж сделай
iptables-save > /etc/sysconfig/iptables
Если вдруг у тебя доступ к серваку перекроется, то просто попроси перегрузить сервак.
Однако это к сожалению не выход, удаленно сложно советовать как тебя сломали.
ты вообще iptables фаервол прописывал что-нибудь? порты закрывал? я практически все закрываю и уже 4 года сервак работает без проблем.
У знакомого раз была ситуация, я помогал решать, ему руткит повесили на сервак. При этом команды ls, netstat, ps и т.д. показывали неверную информацию. Злодеи сделали себе доступ по ssh на сервак совершенно по другому порту, не 22.
Поэтому подумай для начала какие порты тебе нужны, а какие нет, и перекрывай лишние:
Код: |
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -N RH-Firewall-1-INPUT
iptables -A INPUT -j RH-Firewall-1-INPUT
iptables -A FORWARD -j RH-Firewall-1-INPUT
iptables -A RH-Firewall-1-INPUT -i lo -j ACCEPT
iptables -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --sport 20 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -p udp -m udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j DROP
iptables -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
|
Вот тебе пример фаервола
22 порт твой доступ по ssh
80,443 это http, https
20,21 это ftp, я у себя перекрыл
53 это NS
последняя строчка означает перекрыть все
Создай файл, например iptables.sh
и запусти по рутом: sh iptables.sh |
|
|
|
|
|
Фарма партнерка для профессионалов и не только. 11 Языков. 7 методов оплаты |
drg Опытный |
Зарегистрирован: 30.11.2010
Сообщений: 425
|
Обратиться по нику
|
drg |
Ответить с цитатой | | |
|
Забыл главное, ты обновляешься? не знаю, какие у тебя там php скрипты стоят, у меня все самописное, но если дыра в дистре, то как можно чаще обновляйся, для этого запусти под рутом:
yum update
Очень тяжело гадать, способов взлома очень много, ты ftp пользуешься?
через ftp тоже ломают, на время перекрой доступ по ftp, для этого в моем скрипте, строчки с портами 20 21 закомментируй в начале с значком # или просто удали.
Перед тем, как производить какие-то манипуляции с iptables, т..е. с моим скриптом всегда делай под рутом:
service iptables stop |
|
|
|
|
|
Фарма партнерка для профессионалов и не только. 11 Языков. 7 методов оплаты |
blam Опытный |
Зарегистрирован: 13.03.2008
Сообщений: 240
|
Обратиться по нику
|
blam |
Ответить с цитатой | | |
|
drg спасибо за участие, твои правила не прописал, побоялся чего-то )
выполнил только это
Код: |
yum update
iptables -A OUTPUT -p tcp --dport 22 -j DROP
|
ps. ip включили, посматривать буду |
|
|
|
|
|
Бложок |
|