forum.opennet.ru

"Атака на хостинговый сервер FreeBSD"

Форум Информационная безопасность
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

. "Атака на хостинговый сервер FreeBSD"	+/–
Сообщение от ronin (??), 01-Июл-10, 14:25
>ага, или perl-including, через дырявые скрипты вообщем. >тока вот проблема найти через какой именно! >кол-во сайтов на сервере * кол-во скриптов = ппц Могу посоветовать закрыть фаерволлом исходящие соединения с этого сервера (все, а не только на 6666-6669) - что бы зараза сама себя не докачивала. Если там только Апач, то ему исходящие нафик не нужны. Разрешить только входящие, и этого будет достаточно для его нормальной работы. Если нужно взаимодействие с сервером БД - разрешить исходящие на него, но не более того. Ну и с учётом необходимости установления исходящих соединений в административных целях... Здесь уж Вам виднее что Вам необходимо, а что - нет. Далее - /tmp смонтируйте с опцией noexec, /var/tmp - залинкуйте на /tmp - это чтоб не було возможности ничего оттуда запускать. То же самое можно сделать и с /home, если нет необходимости запускать CGI сценарии. Если не удаётся найти заразу с помощью grep, то, возможно, скрипт удаляет свой файл сразу после запуска. Тогда ловить действительно бесполезно. В Линуксе можно узнать из какого файла запущен процесс через псевдо-файловую систему /proc: ronin@athlon:~$ !ps ps -eaf\|grep -i firefox ronin 4059 3384 0 11:58 ? 00:00:00 ksystraycmd /usr/local/bin/firefox ronin 4060 4059 0 11:58 ? 00:00:00 /bin/bash /usr/local/bin/firefox ronin 4061 4060 6 11:58 ? 00:05:16 /usr/local/firefox-3.5.6/firefox-bin ronin 4758 3947 0 13:15 pts/43 00:00:00 grep -i firefox ronin@athlon:~$ ls -al /proc/4061/exe lrwxrwxrwx 1 ronin ronin 0 2010-07-01 13:15 /proc/4061/exe -> /usr/local/firefox-3.5.6/firefox-bin ronin@athlon:~$ Как с этим в FreeBSD - не знаю, там таким не пользовался, но, возможно, тоже прокатит. А вот то, что файлы создаются с владельцем root - это очень плохо. Я на 80% уверен, что поимели root-аккаунт, и лечиться уже бесполезно, необходимо сносить систему и ставить с ноля (и настраивать секурити получше); или же подменили бинарник апача (он стартует от рута; в этом случае надо переинсталлировать апач и убедиться что он нормально защищён - нельзя перезаписывать файл самого демона). respect, ronin
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Атака на хостинговый сервер FreeBSD, TangaRUS, 01-Июл-10, 09:16 [смотреть все]

Сейчас вот идея пришла надо сделать свой lwp-download и через него как-то отсле, TangaRUS, 01-Июл-10, 09:22 (1) //
- Вот как оно запускается на скачку выловил из ps sh -c cd var tmp cd tmp lwp-d, TangaRUS, 01-Июл-10, 10:16 (3) //
  - Parent - апач Значит точно или сам что врядли , или какой-то из пользовательских, TangaRUS, 01-Июл-10, 11:08 (6)
Да, проверял rkhunter и chkrootkit - ничего не нашли , TangaRUS, 01-Июл-10, 09:26 (2) //
- Судя по http www virustotal com ru analisis 15f933c8f9930b82e5d356e37691d58cd6, Golub Mikhail, 01-Июл-10, 10:45 (4) //
  - Дырки ясно не нашёл, но понаходил шеллы и прочее у определенного пользователя, з, TangaRUS, 01-Июл-10, 12:48 (8)
php-including почитай похожие темы http www xakep ru post 28749 default , kalmykov, 01-Июл-10, 11:04 (5) //
- ага, или perl-including, через дырявые скрипты вообщем тока вот проблема найти ч, TangaRUS, 01-Июл-10, 11:09 (7) //
  - Могу посоветовать закрыть фаерволлом исходящие соединения с этого сервера все, , ronin, 01-Июл-10, 14:25 (9)
  - Вдогонку Если зараза стартует от апача - значит дыра в каком-то РНР-скрипте они, ronin, 01-Июл-10, 14:32 (10) //
    - Да, напрямую Очень похоже что так и есть Я выше писал, что косвенно нашёл источн, TangaRUS, 01-Июл-10, 14:52 (11)
      - Как правило, после взлома хакер оставляет пару резервных веб шеллов на случай об, Ekzorcist, 26-Июл-10, 11:48 (12)
      - gt оверквотинг удален Присоединяюсь к автору статьи Мои хостинг на FreeBSD так, lifejoy, 20-Авг-10, 15:53 (14)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру