Решено: атака с сервера

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

Аватара пользователя
Anguis
Сообщения: 212
ОС: Manjaro 17

Решено: атака с сервера

Сообщение Anguis »

Приветствую, уважаемые!

Получил такое уведомление от хостера, на котором держу сайты:

Поступила жалоба на атаку с Вашего сервера.
Текст жалобы ниже
В течении 12 часов Вам необходимо устранить проблему и сообщить нам о её причинах.
Если в указанный период от Вас не поступит ответа сервер будет отключен.

213.155.xxx.yyy was observed probing caltech.edu for security holes. It
has been blocked at our border routers. It may be compromised.

For more info: security(doggy)its.caltech.edu

Blake

(time zone of log is PDT, which is UTC-07:00, date is MMDD)
log entries are from Cisco netflow, time is flow start time
date.time srcIP srcPort dstIP dstPort proto #pkts
0808.02:44:46.449 213.155.xxx.yyy 45615 131.215.101.97 22 6 12
0808.02:44:46.298 213.155.xxx.yyy 44332 131.215.101.52 22 6 12
0808.02:44:47.192 213.155.xxx.yyy 38298 131.215.104.25 22 6 12
0808.02:44:57.138 213.155.xxx.yyy 33925 131.215.115.21 22 6 11
0808.02:44:57.458 213.155.xxx.yyy 36601 131.215.115.215 22 6 10
0808.02:44:52.399 213.155.xxx.yyy 45365 131.215.112.206 22 6 12
0808.02:44:52.787 213.155.xxx.yyy 41306 131.215.112.228 22 6 12
0808.02:44:54.383 213.155.xxx.yyy 40076 131.215.114.31 22 6 12
0808.02:44:55.281 213.155.xxx.yyy 57013 131.215.114.9 22 6 12
0808.02:44:55.345 213.155.xxx.yyy 52728 131.215.115.13 22 6 12
0808.02:44:49.842 213.155.xxx.yyy 51720 131.215.104.29 22 6 12
0808.02:44:49.970 213.155.xxx.yyy 45000 131.215.11.35 22 6 12
0808.02:44:50.482 213.155.xxx.yyy 50408 131.215.112.162 22 6 12
0808.02:44:52.911 213.155.xxx.yyy 48376 131.215.114.134 22 6 11
0808.02:44:54.938 213.155.xxx.yyy 38181 131.215.114.33 22 6 12

contact info from:
spamcop hosttracker


Сервер был просканирован на предмет руткитов тулкой chkrootkit. Это ни чего не дало. Т.е. хаков не выявило. В логах интересного только то, что какой-то хрен ssh брутфорсить пыталсо. У него не вышло, по крайней мере сообщение о его аутентификации в логах нет. Может скрыл следы?
Подскажите пожалуйста, что можно еще предпринять, как выявить проблему и что сделать что-бы в будущем такого не было?
OC: Debian GNU/Linux 2.6.26-2-686

Поиск инфы натолкнул меня на мысли заюзать PortSentry ну и настроить iptables. Я не админ - я прогер, а потому в вопросах касаемо настройки сервера соображаю не оч и инфой особо не владею, но так получилось, что приходится и админить серв, поэтому и прошу вашей помощи. Как говорится, надеюсь и уповаю.
Спасибо сказали:
Аватара пользователя
polovinamozga
Сообщения: 99
ОС: gentoo

Re: Решено: атака с сервера

Сообщение polovinamozga »

Отчет о том как я попал в ботнет.

наслаждайтесь.

Енджой ваш спид.
!Предупреждение от модератора Ленивая Бестолочь
плюс за нарушение пункта правил:
3.3. Создание сообщений, содержащих ..... высказывания, призванные принизить или оскорбить группы людей или отдельных личностей. Сообщения, призванные намеренно ввести пользователей в заблуждение или нанести им ущерб.

мем "I don't think you have an X. Enjoy your Y." однозначно направлен на оскорбление и унижение собеседника.
кроме того, ваше сообщение, ссылку на которое вы привели не имеет прямого отношения к тому, что написал топикстартер. нет никаких оснований предполагать, что ему подобрали пароль рута или проделали в системе какие-либо схожие действие с вашим описанием.
поэтому ещё:
3.3. Создание сообщений, не содержащие информации, способствующей решению вопроса, созданные с целью поднять тему в разделе или для "накрутки счетчиков".

Спасибо сказали:
Аватара пользователя
Anguis
Сообщения: 212
ОС: Manjaro 17

Re: Решено: атака с сервера

Сообщение Anguis »

Действительно это не ботнет и меня не взломали ч-з брутфорс. Как выяснилось была уязвимость в phpmyadmin, через которую злоумышленник и проник в систему и завел свой процесс под именем dd_ssh, файлик с аналогичным именем лежал в директории /tmp. после чистки /tmp и убивания процесса все пришло в норму. Ах да, еще был открыт порт 34358. Естественно я его закрыл... Эх... ни как руки не дойдут детально изучить iptables :(
Спасибо сказали:
neol
Сообщения: 600
ОС: Debian Stable

Re: Решено: атака с сервера

Сообщение neol »

Anguis писал(а):
11.08.2010 12:41
Эх... ни как руки не дойдут детально изучить iptables sad.gif

Лучше освойте aptitude update && aptitude safe-upgrade, бага в phpmyadmin была поправлена еще в прошлом году.
Спасибо сказали:
Аватара пользователя
Anguis
Сообщения: 212
ОС: Manjaro 17

Re: Решено: атака с сервера

Сообщение Anguis »

neol писал(а):
11.08.2010 15:26
Anguis писал(а):
11.08.2010 12:41
Эх... ни как руки не дойдут детально изучить iptables sad.gif

Лучше освойте aptitude update && aptitude safe-upgrade, бага в phpmyadmin была поправлена еще в прошлом году.

Я не знал о существовании этой баги. Сервер устанавливал и конфигурировал саппорт хостера. Я конечно понимаю, что моя вина что я не проверил версии установленного ПО, но я надеялся что там работают грамотные люди. Ко всему прочему сервер был установлен в мае этого года. Логично предположить что на него ставилось современное ПО, а не прошлогоднее..
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Решено: атака с сервера

Сообщение sash-kan »

Anguis писал(а):
12.08.2010 17:41
Логично предположить что на него ставилось современное ПО, а не прошлогоднее..
вы не поверите, но на этом сервере есть и п.о., написанное вообще в прошлом веке.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали: