АРМАДА
ломанули сервак, где смотреть ?
Новая тема Написать ответ Advanced Hosters - профессиональный хостинг

blam
Опытный
Зарегистрирован: 13.03.2008
Сообщений: 240
Обратиться по нику
# Добавлено:Пт Dec 17, 2010 1:24 pmДобавить в избранноеОтветить с цитатой
Посыпались письма от хостера с логами, идет брутфорс с моих ip.

стоит Centos5, админю сам,
Брут обычно через php+апач идет ?
или может в centos прописался, какие действия предпринять нужно, хотя бы основные ?
Бложок

deBrain
V.I.P.
Зарегистрирован: 03.06.2010
Сообщений: 1569
Обратиться по нику
# Добавлено:Пт Dec 17, 2010 9:05 pmОтветить с цитатой
Кто-то брутфорсит сервак на рута? Не понятно) Что брутфорсят и куда?)
Правильно вкладываем свободные средства в ПАММ
Правильный хостинг: DigitalOcean

Saytik
Опытный
Зарегистрирован: 29.09.2010
Сообщений: 189
Обратиться по нику
# Добавлено:Пт Dec 17, 2010 10:37 pmОтветить с цитатой
им залили скрипты, которые брутфорсят другие сервера.

первым делом проверьте папки /tmp /var/tmp на наличие сторонних скриптов под пользователем веб-сервера.

Панель управления ISPmanager случайно не используете? Если используете, проверьте чтобы версия phpmyadmin было не ниже 2.11.10.1, так как ниже версии дырявые, заливаются скрипты под пользователем веб-сервера, которые трафик жрут и наносят вред другим серверам.

Как минимум попробуйте следующее:

for i in `ps uax | grep httpd | awk '{print $2}'`;do echo $i;ls -la /proc/$i | grep exe | grep perl ;done

httpd - процессы веб-сервера от кого запускаются, может быть надо заменить на nobody или www-data или apache

команда покажет, ID процессов вебсервера и если хоть один является perl скриптом то сразу после ID укажет путь к perl.

тогда проверить где скрипт можно попробовать так

ls -la /proc/<PID>/cwd

<PID> - нужный ID процесса, который показало как перловый скрипт


установите утилиты и проверьте систему на Rootkits и clavav антивирусной программой
http://Goodhoster.NET - Профессиональный надежный хостинг! (Украина, Германия)
Хостинг | ВПС | Серверы | Домены

drg
Опытный
Зарегистрирован: 30.11.2010
Сообщений: 425
Обратиться по нику
# Добавлено:Сб Dec 18, 2010 2:14 amОтветить с цитатой
Saytik писал(а):


установите утилиты и проверьте систему на Rootkits и clavav антивирусной программой


Я бы с этого начал
yum install rkhunter
И как поставите запустите под рутом rkhunter -c
Сомневаюсь, что без руткита обошлось. Если найдете руткит, просите хостера, чтобы переставил систему, сомневаюсь, что вы сами сможете избавится от руткита, по себе знаю, хитрая штука.
Фарма партнерка для профессионалов и не только. 11 Языков. 7 методов оплаты

blam
Опытный
Зарегистрирован: 13.03.2008
Сообщений: 240
Обратиться по нику
# Добавлено:Вс Dec 19, 2010 9:42 amОтветить с цитатой
Цитата:
им залили скрипты, которые брутфорсят другие сервера.


да

drg, спасибо за совет

ребутнул сервак сразу, письма от робота с абузами перестали идти, может это о чемто говорит ?
Бложок

blam
Опытный
Зарегистрирован: 13.03.2008
Сообщений: 240
Обратиться по нику
# Добавлено:Вс Dec 19, 2010 12:03 pmОтветить с цитатой
ISPmanager не стоит
rkhunter -c только "Checking for prerequisites [ Warning ]"
chkrootkit - ничего не нашел
for i in `ps uax | grep httpd | awk '{print $2}'`;do echo $i;ls -la /proc/$i | grep exe | grep perl ;done
нет запущенных perl скриптов
Неужели reboot помог ?
Бложок

the4gamblers
Опытный
Зарегистрирован: 16.06.2010
Сообщений: 221
Обратиться по нику
# Добавлено:Пн Dec 20, 2010 7:10 amОтветить с цитатой
Цитата:
Неужели reboot помог ?


скорее всего горе хацкеры забыли добавить скрипт в автозагрузку либо тупо его запускали из веб шела без рутовых прав так что жди гостей опять поэтому ищи веб шелл и посмотри в папке tmp файлы с расширением pl
веб шел можно искать например так
Код:
grep -Rl "r57shell|c99madshell|eval\|base64_decode" /home


где /home твой веб каталог
так же отсортируй в каталоге своего сайта (сайтов) файлы по времени создания тоже как вариант помогает увидеть новые файлы либо исправленные.
так же в папках с имаджами ищи файлик .htaccess
вот с такми содержанием
Код:
AddType application/x-httpd-php .gif


если есть то шел значить в гифке
и вообще напиши какие cms у тебя стоят я тебе скажу где точно искать веб шел
и вообще кури маны http://dedicatesupport.com/archives/10
Деньги любят тишину...

blam
Опытный
Зарегистрирован: 13.03.2008
Сообщений: 240
Обратиться по нику
# Добавлено:Вт Dec 21, 2010 9:36 amОтветить с цитатой
все таки отрубили основной ip (
может скан и продолжается, почистил от старых скриптов, попросил включить ip.
можно ли как нибудь помотреть откуда с моего сервера идут соеденения на 22 порт другого сервера ?
знаю только netstat
Бложок

Saytik
Опытный
Зарегистрирован: 29.09.2010
Сообщений: 189
Обратиться по нику
# Добавлено:Вт Dec 21, 2010 11:18 amОтветить с цитатой
Цитата:
знаю только netstat


- и что? netstat -an | grep :22 - Не показывает ?
http://Goodhoster.NET - Профессиональный надежный хостинг! (Украина, Германия)
Хостинг | ВПС | Серверы | Домены

blam
Опытный
Зарегистрирован: 13.03.2008
Сообщений: 240
Обратиться по нику
# Добавлено:Вт Dec 21, 2010 11:44 amОтветить с цитатой
пока только свой ip вижу.
netstat не покажет ведь откуда идет соеденение с моего сервера к другому, если это php скрипт .
Бложок

Saytik
Опытный
Зарегистрирован: 29.09.2010
Сообщений: 189
Обратиться по нику
# Добавлено:Вт Dec 21, 2010 12:07 pmОтветить с цитатой
Если Вы знаете, что от Вашего сервера брутфорс идет именно на 22 порт удаленного сервера, тогда просто заблокируйте исходящие соединения:

iptables -A OUTPUT -p tcp --dport 22 -j DROP

чтобы правило сохранялось при перезагрузке, надо добавить:
iptables-save > /etc/sysconfig/iptables
http://Goodhoster.NET - Профессиональный надежный хостинг! (Украина, Германия)
Хостинг | ВПС | Серверы | Домены

blam
Опытный
Зарегистрирован: 13.03.2008
Сообщений: 240
Обратиться по нику
# Добавлено:Вт Dec 21, 2010 12:14 pmОтветить с цитатой
Saytik спасибо, хорошая мысль, а себя случаем не заблокирую ?
Бложок

drg
Опытный
Зарегистрирован: 30.11.2010
Сообщений: 425
Обратиться по нику
# Добавлено:Вт Dec 21, 2010 4:08 pmОтветить с цитатой
blam, Если я не ошибаюсь, ты сам просто не сможешь никуда со своего сервака зайти по ssh, это я про совет Saytik,
Ты сделай, что он посоветовал и проверь, если сам можешь на сервак попадать, то тогда уж сделай
iptables-save > /etc/sysconfig/iptables
Если вдруг у тебя доступ к серваку перекроется, то просто попроси перегрузить сервак.
Однако это к сожалению не выход, удаленно сложно советовать как тебя сломали.
ты вообще iptables фаервол прописывал что-нибудь? порты закрывал? я практически все закрываю и уже 4 года сервак работает без проблем.
У знакомого раз была ситуация, я помогал решать, ему руткит повесили на сервак. При этом команды ls, netstat, ps и т.д. показывали неверную информацию. Злодеи сделали себе доступ по ssh на сервак совершенно по другому порту, не 22.
Поэтому подумай для начала какие порты тебе нужны, а какие нет, и перекрывай лишние:

Код:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -N RH-Firewall-1-INPUT
iptables -A INPUT -j RH-Firewall-1-INPUT
iptables -A FORWARD -j RH-Firewall-1-INPUT
iptables -A RH-Firewall-1-INPUT -i lo -j ACCEPT
iptables -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 20 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --sport 20 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 53 -j ACCEPT
iptables -A RH-Firewall-1-INPUT -p udp -m udp --dport 53 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 22 -j DROP

iptables -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited


Вот тебе пример фаервола
22 порт твой доступ по ssh
80,443 это http, https
20,21 это ftp, я у себя перекрыл
53 это NS
последняя строчка означает перекрыть все
Создай файл, например iptables.sh
и запусти по рутом: sh iptables.sh
Фарма партнерка для профессионалов и не только. 11 Языков. 7 методов оплаты

drg
Опытный
Зарегистрирован: 30.11.2010
Сообщений: 425
Обратиться по нику
# Добавлено:Вт Dec 21, 2010 4:13 pmОтветить с цитатой
Забыл главное, ты обновляешься? не знаю, какие у тебя там php скрипты стоят, у меня все самописное, но если дыра в дистре, то как можно чаще обновляйся, для этого запусти под рутом:
yum update

Очень тяжело гадать, способов взлома очень много, ты ftp пользуешься?
через ftp тоже ломают, на время перекрой доступ по ftp, для этого в моем скрипте, строчки с портами 20 21 закомментируй в начале с значком # или просто удали.
Перед тем, как производить какие-то манипуляции с iptables, т..е. с моим скриптом всегда делай под рутом:
service iptables stop
Фарма партнерка для профессионалов и не только. 11 Языков. 7 методов оплаты

blam
Опытный
Зарегистрирован: 13.03.2008
Сообщений: 240
Обратиться по нику
# Добавлено:Ср Dec 22, 2010 8:40 amОтветить с цитатой
drg спасибо за участие, твои правила не прописал, побоялся чего-то )
выполнил только это
Код:
yum update
iptables -A OUTPUT -p tcp --dport 22 -j DROP



ps. ip включили, посматривать буду
Бложок
Новая тема Написать ответ    ГЛАВНАЯ ~ ТЕХНИЧЕСКИЕ ВОПРОСЫ

Перейти:  





Генеральный спонсор



Партнеры