Меня взломали. Что делать?

[saikov]

Звонят ребята и говорят, что инет лежит на работе. Попросили выключить негодяя. Быстренько пробежался и увидел, что от меня идут DDos по ICMP на сайт нашего правительства. (кремлин)
В фаирволе запретил ICMP пакеты наружу. Что мне делать?
Перезапустил сервак, все равно бомблю. Как это остановить через iptables? Спасайте ребята!!
Вот такая картина

[saikov]

Это не помогает

Код: Выделить всё

iptables -A INPUT -i eth1 -p tcp -d 195.208.24.91 -j DROP
iptables -A OUTPUT -o eth1 -p tcp -d 195.208.24.91 -j DROP

iptables -A INPUT -i eth1 -p udp -d 195.208.24.91 -j DROP
iptables -A OUTPUT -o eth1 -p udp -d 195.208.24.91 -j DROP

[Ism]

Если троян уже в вашей системе, файрволы не помогут. Только переустановка сервака
Нужно выяснить какой процесс бомбит

[saikov]

Как это лучше сделать?

[Ism]

Точно не помню, гуглить надо, но видел, но есть команды которые могут показать какому процессу принадлежит открытый порт

А вообще интересно Ddos через сервак Linux , подозрительно и бессмысленно , как вариант попробуйте обновить систем, может использоваться какая-то дыра

[Poor Fred]

Это не помогает

Код: Выделить всё

iptables -A INPUT -i eth1 -p tcp -d 195.208.24.91 -j DROP
iptables -A OUTPUT -o eth1 -p tcp -d 195.208.24.91 -j DROP

iptables -A INPUT -i eth1 -p udp -d 195.208.24.91 -j DROP
iptables -A OUTPUT -o eth1 -p udp -d 195.208.24.91 -j DROP

Ну а если -p icmp, или как там в iptables? Ну или вообще всё в сторону этого адреса?

Точно не помню, гуглить надо, но видел, но есть команды которые могут показать какому процессу принадлежит открытый порт

Например, netstat -pln

Хотя локальный порт на скрине всё время разный.

[saikov]

Если сделать
tcpdump -i eth1 -p tcp and not port 23 или
tcpdump -i eth1 -p icmp and not port 23
то траф идет получается от меня по tcp и icmp

[saikov]

Код: Выделить всё

[root@ldap ~]# netstat -nlapa
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 0.0.0.0:803                 0.0.0.0:*                   LISTEN      2741/rpc.statd
tcp        0      0 127.0.0.1:199               0.0.0.0:*                   LISTEN      3072/snmpd
tcp        0      0 127.0.0.1:9000              0.0.0.0:*                   LISTEN      3212/php-cgi
tcp        0      0 0.0.0.0:139                 0.0.0.0:*                   LISTEN      3343/smbd
tcp        0      0 127.0.0.1:3310              0.0.0.0:*                   LISTEN      5292/clamd
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      2697/portmap
tcp        0      0 0.0.0.0:8080                0.0.0.0:*                   LISTEN      3194/nginx
tcp        0      0 0.0.0.0:4949                0.0.0.0:*                   LISTEN      3245/munin-node
tcp        0      0 192.168.2.77:53             0.0.0.0:*                   LISTEN      3006/named
tcp        0      0 192.168.1.77:53             0.0.0.0:*                   LISTEN      3006/named
tcp        0      0 192.168.3.77:53             0.0.0.0:*                   LISTEN      3006/named
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      3101/cupsd
tcp        0      0 0.0.0.0:23                  0.0.0.0:*                   LISTEN      3088/sshd
tcp        0      0 127.0.0.1:953               0.0.0.0:*                   LISTEN      3006/named
tcp        0      0 0.0.0.0:445                 0.0.0.0:*                   LISTEN      3343/smbd
tcp        0      1 46.72.7.108:37611           173.194.71.109:587          SYN_SENT    5328/sendmail
tcp        0      1 46.72.7.108:40689           173.194.71.108:587          SYN_SENT    5329/sendmail
tcp        0   1952 46.72.7.108:23              46.72.52.96:2156            ESTABLISHED 4550/sshd
tcp        0      0 :::23                       :::*                        LISTEN      3088/sshd
udp        0      0 46.72.7.108:137             0.0.0.0:*                               3348/nmbd
udp        0      0 192.168.131.100:137         0.0.0.0:*                               3348/nmbd
udp        0      0 192.168.3.77:137            0.0.0.0:*                               3348/nmbd
udp        0      0 192.168.1.77:137            0.0.0.0:*                               3348/nmbd
udp        0      0 192.168.2.77:137            0.0.0.0:*                               3348/nmbd
udp        0      0 0.0.0.0:137                 0.0.0.0:*                               3348/nmbd
udp        0      0 46.72.7.108:138             0.0.0.0:*                               3348/nmbd
udp        0      0 192.168.131.100:138         0.0.0.0:*                               3348/nmbd
udp        0      0 192.168.3.77:138            0.0.0.0:*                               3348/nmbd
udp        0      0 192.168.1.77:138            0.0.0.0:*                               3348/nmbd
udp        0      0 192.168.2.77:138            0.0.0.0:*                               3348/nmbd
udp        0      0 0.0.0.0:138                 0.0.0.0:*                               3348/nmbd
udp        0      0 0.0.0.0:37648               0.0.0.0:*                               3437/avahi-daemon
udp        0      0 0.0.0.0:797                 0.0.0.0:*                               2741/rpc.statd
udp        0      0 0.0.0.0:800                 0.0.0.0:*                               2741/rpc.statd
udp        0      0 0.0.0.0:161                 0.0.0.0:*                               3072/snmpd
udp        0      0 192.168.2.77:53             0.0.0.0:*                               3006/named
udp        0      0 192.168.1.77:53             0.0.0.0:*                               3006/named
udp        0      0 192.168.3.77:53             0.0.0.0:*                               3006/named
udp        0      0 0.0.0.0:67                  0.0.0.0:*                               3151/dhcpd
udp        0      0 0.0.0.0:68                  0.0.0.0:*                               2160/dhclient
udp        0      0 0.0.0.0:69                  0.0.0.0:*                               3117/xinetd
udp        0      0 0.0.0.0:5353                0.0.0.0:*                               3437/avahi-daemon
udp        0      0 0.0.0.0:111                 0.0.0.0:*                               2697/portmap
udp        0      0 0.0.0.0:631                 0.0.0.0:*                               3101/cupsd
udp        0      0 :::54661                    :::*                                    3437/avahi-daemon
udp        0      0 :::5353                     :::*                                    3437/avahi-daemon
raw        0      0 0.0.0.0:1                   0.0.0.0:*                   7           3151/dhcpd
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     5624   1829/iscsid         @ISCSIADM_ABSTRACT_NAMESPACE
unix  2      [ ACC ]     STREAM     LISTENING     10160  3299/xfs            /tmp/.font-unix/fs7100
unix  2      [ ACC ]     STREAM     LISTENING     17279  5292/clamd          /var/run/clamav/clamd.sock
unix  2      [ ACC ]     STREAM     LISTENING     5604   1821/iscsiuio       @ISCSID_UIP_ABSTRACT_NAMESPACE
unix  2      [ ACC ]     STREAM     LISTENING     6704   2571/audispd        /var/run/audispd_events
unix  2      [ ACC ]     STREAM     LISTENING     7313   2798/dbus-daemon    /var/run/dbus/system_bus_socket
unix  19     [ ]         DGRAM                    6763   2601/syslogd        /dev/log
unix  2      [ ACC ]     STREAM     LISTENING     7577   2917/hald           @/var/run/hald/dbus-FYqoaJzAOH
unix  2      [ ]         DGRAM                    1383   491/udevd           @/org/kernel/udev/udevd
unix  2      [ ACC ]     STREAM     LISTENING     7391   2817/sdpd           /var/run/sdp
unix  2      [ ACC ]     STREAM     LISTENING     7488   2886/pcscd          /var/run/pcscd.comm
unix  2      [ ACC ]     STREAM     LISTENING     7536   2900/acpid          /var/run/acpid.socket
unix  2      [ ]         DGRAM                    7585   2917/hald           @/org/freedesktop/hal/udev_event
unix  2      [ ACC ]     STREAM     LISTENING     9363   3101/cupsd          /var/run/cups/cups.sock
unix  2      [ ACC ]     STREAM     LISTENING     9678   3177/gpm            /dev/gpmctl
unix  2      [ ACC ]     STREAM     LISTENING     10495  3437/avahi-daemon   /var/run/avahi-daemon/socket
unix  2      [ ACC ]     STREAM     LISTENING     7576   2917/hald           @/var/run/hald/dbus-fuyddWwegF
unix  2      [ ]         DGRAM                    17249  5292/clamd
unix  2      [ ]         DGRAM                    13665  4582/su
unix  3      [ ]         STREAM     CONNECTED     13601  4550/sshd
unix  3      [ ]         STREAM     CONNECTED     13600  4553/sshd
unix  2      [ ]         DGRAM                    13596  4550/sshd
unix  3      [ ]         STREAM     CONNECTED     10498  2798/dbus-daemon    /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     10497  3437/avahi-daemon
unix  3      [ ]         STREAM     CONNECTED     10492  3438/avahi-daemon
unix  3      [ ]         STREAM     CONNECTED     10491  3437/avahi-daemon
unix  2      [ ]         DGRAM                    10489  3437/avahi-daemon
unix  2      [ ]         DGRAM                    9892   3230/crond
unix  3      [ ]         STREAM     CONNECTED     9848   3212/php-cgi
unix  3      [ ]         STREAM     CONNECTED     9847   3212/php-cgi
unix  3      [ ]         STREAM     CONNECTED     9844   3212/php-cgi
unix  3      [ ]         STREAM     CONNECTED     9843   3212/php-cgi
unix  3      [ ]         STREAM     CONNECTED     9768   3194/nginx
unix  3      [ ]         STREAM     CONNECTED     9767   3194/nginx
unix  3      [ ]         STREAM     CONNECTED     9765   3194/nginx
unix  3      [ ]         STREAM     CONNECTED     9764   3194/nginx
unix  2      [ ]         DGRAM                    9666   3177/gpm
unix  2      [ ]         DGRAM                    9538   3151/dhcpd
unix  2      [ ]         DGRAM                    9418   3117/xinetd
unix  2      [ ]         DGRAM                    9342   3072/snmpd
unix  2      [ ]         DGRAM                    9082   3050/automount
unix  2      [ ]         DGRAM                    8918   3006/named
unix  2      [ ]         DGRAM                    8730   2954/hidd
unix  3      [ ]         STREAM     CONNECTED     8694   2798/dbus-daemon    /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     8693   2917/hald
unix  3      [ ]         STREAM     CONNECTED     8509   2900/acpid          /var/run/acpid.socket
unix  3      [ ]         STREAM     CONNECTED     8508   2925/hald-addon-acp
unix  3      [ ]         STREAM     CONNECTED     8501   2917/hald           @/var/run/hald/dbus-fuyddWwegF
unix  3      [ ]         STREAM     CONNECTED     8499   2925/hald-addon-acp
unix  3      [ ]         STREAM     CONNECTED     7580   2917/hald           @/var/run/hald/dbus-FYqoaJzAOH
unix  3      [ ]         STREAM     CONNECTED     7579   2918/hald-runner
unix  2      [ ]         DGRAM                    7487   2886/pcscd
unix  3      [ ]         STREAM     CONNECTED     7375   2798/dbus-daemon    /var/run/dbus/system_bus_socket
unix  3      [ ]         STREAM     CONNECTED     7373   2811/hcid
unix  2      [ ]         DGRAM                    7357   2817/sdpd
unix  2      [ ]         DGRAM                    7347   2811/hcid
unix  3      [ ]         STREAM     CONNECTED     7318   2798/dbus-daemon
unix  3      [ ]         STREAM     CONNECTED     7317   2798/dbus-daemon
unix  3      [ ]         STREAM     CONNECTED     7229   2768/rpc.idmapd
unix  3      [ ]         STREAM     CONNECTED     7228   2768/rpc.idmapd
unix  2      [ ]         DGRAM                    7115   2741/rpc.statd
unix  2      [ ]         DGRAM                    6771   2604/klogd
unix  3      [ ]         STREAM     CONNECTED     6695   2569/auditd
unix  3      [ ]         STREAM     CONNECTED     6694   2571/audispd

[Poor Fred]

Попробуй tcpdump -i eth0 -vvv icmp
Должно получиться что-то вроде

Код: Выделить всё

tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
21:24:07.058849 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.3 > 173.194.32.31: ICMP echo request, id 16160, seq 182, length 64
21:24:07.140263 IP (tos 0x0, ttl 54, id 13365, offset 0, flags [none], proto ICMP (1), length 84)
    173.194.32.31 > 192.168.1.3: ICMP echo reply, id 16160, seq 182, length 64
21:24:08.060082 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.3 > 173.194.32.31: ICMP echo request, id 16160, seq 183, length 64
21:24:08.141752 IP (tos 0x0, ttl 53, id 13366, offset 0, flags [none], proto ICMP (1), length 84)
    173.194.32.31 > 192.168.1.3: ICMP echo reply, id 16160, seq 183, length 64
21:24:09.061631 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
    192.168.1.3 > 173.194.32.31: ICMP echo request, id 16160, seq 184, length 64
21:24:09.143635 IP (tos 0x0, ttl 53, id 13367, offset 0, flags [none], proto ICMP (1), length 84)
    173.194.32.31 > 192.168.1.3: ICMP echo reply, id 16160, seq 184, length 64

id - это и есть pid процесса.

[saikov]

Код: Выделить всё

18:16:23.803113 IP (tos 0x0, ttl  63, id 40936, offset 20720, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:16:23.803117 IP (tos 0x0, ttl  63, id 40936, offset 22200, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:16:23.803121 IP (tos 0x0, ttl  63, id 40936, offset 23680, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:16:23.803125 IP (tos 0x0, ttl  63, id 40936, offset 25160, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:16:23.803127 IP (tos 0x0, ttl  63, id 40936, offset 26640, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:16:23.803130 IP (tos 0x0, ttl  63, id 40936, offset 28120, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:16:23.803133 IP (tos 0x0, ttl  63, id 40936, offset 29600, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp

Как его убить?
[root@ldap ~]# killall 40936
40936: no process killed
[root@ldap ~]# kill -9 40936
-bash: kill: (40936) - Нет такого процесса

[Poor Fred]

Как его убить?
[root@ldap ~]# killall 40936
40936: no process killed
[root@ldap ~]# kill -9 40936
-bash: kill: (40936) - Нет такого процесса

ps ax его видит? Или top?

[saikov]

Как куча идов получается.

Код: Выделить всё

18:23:05.832037 IP (tos 0x0, ttl  63, id 14876, offset 25160, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:05.832040 IP (tos 0x0, ttl  63, id 14876, offset 26640, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:05.832043 IP (tos 0x0, ttl  63, id 14876, offset 28120, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:05.832049 IP (tos 0x0, ttl  63, id 14876, offset 29600, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:06.487931 IP (tos 0x0, ttl  63, id 14941, offset 0, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: ICMP echo request, id 16745, seq 53339, length 1480
18:23:06.487945 IP (tos 0x0, ttl  63, id 14941, offset 1480, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:06.487948 IP (tos 0x0, ttl  63, id 14941, offset 2960, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:06.487951 IP (tos 0x0, ttl  63, id 14941, offset 4440, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:06.487954 IP (tos 0x0, ttl  63, id 14941, offset 5920, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp
18:23:06.487957 IP (tos 0x0, ttl  63, id 14941, offset 7400, flags [+], proto: ICMP (1), length: 1500) 46.72.7.108 > kremlin.ru: icmp

И не один не выловить.

[saikov]

Ну я не знаю что делать. Откатить систему ни как не получится. (((
Как это могло произойти...

[saikov]

Сейчас отрубил icmp в цепочке FORWARD. Но сеть все равно лежит.

Отбился на время. Оказалось что некий друг закинул на сервер (который был предоставлен ему от души доброй) накатил бяку. Не хороший человек. Может и не он, но на сервак так просто не залить трояна.
Буду его ждать и спрашивать с него.

UPD: Ну я был прав. Именно у него в жопе детсво заиграло http://pastebin.com/vRDamteU Доверяй потом людям.

[Ism]

Вы что, не знаете , Анонимусы - рядовой отдел ЦРУ

Оказалось что некий друг закинул на сервер

Чтото вы слишком добрый

[Poor Fred]

Сейчас отрубил icmp в цепочке FORWARD. Но сеть все равно лежит.

А уверен, что это не провайдер тебя отрубил? В случае вредоносной активности с твоей стороны он имеет право на это.

[saikov]

Уверен. Мне повезло и я по ssh смог зайти на атакующий сервер и вырубить его. После этого все стало гуд. Теперь отрублю его от сети, накачу iptables и отрублю от инета. А лучше вообще снесу. Всем спасибо.

[drBatty]

что от меня идут DDos по ICMP

/0
что-бы DoS была DDoSом надо не "от меня", а "от нас". А ваш сервак для кремлина как слону дробина, никто и не заметит (:

А лучше вообще снесу.

ну это на самом деле самое простое и здравое решение. Хотя бекап я-бы сделал, поковырять на досуге, чтоб впредь такого не было.

[saikov]

О. Доктор. Привет. Это xlin по тебе кое где уже соскучились. А сервак пока оставил. Откатил правда, много думаю.

Получилось что от на. Не один же человек эту ссылку применил. Где то ее же распространяют.