 Взломали сервер,  sashachaos, 04-Фев-07, 17:21 [смотреть все]Добрый день!
Взломали сервер арендованный в US.
Что можете посоветовать?
Хакеры изменили конфиг апача и перенесли его.
На серваке стоит:
squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D
Объясните мне тупому можно ли через открытые прокси через squid посылать email извне? т.к. пришел абуз от spamcop.net, что с сервака 60 000 писем ушло и положило сервак какой-то!мне кажется, что на серваке есть троян, который
переодически меняет конфиг апача и возможно еще делает что-то
По совету запустил chkrootkit:
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not found
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for HKRK rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... You have 4 process hidden for readdir command
You have 7 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted Ругается на Possible LKM Trojan installed
Но вроде я посмотрел ничего такого в скрытых пакетах нет, ядро 2.6
auditd 1673
/usr/sbin/kernel@-f@/etc/kernel_config
/usr/sbin/named
usr/sbin/kernel-f/etc/kernel_config
/usr/sbin/kernel-f/etc/kernel_config
RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так и не понял
OS Fedora Core 4
Просьба не смеятся над ламерами админами, а помочь, кто сможет
Прочитал в соседней теме, что могут ломануть через ssl и ssh, но я к сожалению ничего не понимаю в этом как понять что через это ломанули(
Заранее спасибо за ответ! |
- Взломали сервер, exn, 19:46 , 04-Фев-07 (1)
- Взломали сервер, Dmitry, 20:46 , 04-Фев-07 (2)
- Взломали сервер, bass, 12:23 , 05-Фев-07 (3)
- Взломали сервер, sashachaos, 00:18 , 16-Фев-07 (4)
Огромное спасибо за ответ, очень много полезной информации!
Я за это время тоже многое накопал!
Итак сервак не принадлежит мне, и я к сожалению только учусь администрировать!
Хозяину некогда и по фигу, поэтому наверное сервак легко и взломали!
Сервак действительно нужен в US, т.к. там размещается большое количество сайтов!
Я занимаюсь данным серваком, т.к. у меня там расположен сайт и просто интересно, в качестве обучения!
>>На серваке стоит:
>>squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D
Сквид оказывается нужен хозяину, я его временно убил
Однако спам как шел:( так и идет!
>>RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так
>>и не понял
>
>RedHate Edge Tech holes. Не стоит непатченную шляпу в продакшн ставить Итак руткитхантер находит троян по бинарнику /usr/bin/wp в процессах и в скрытых я такого не нашел! Как снести его не знаю!
Бинарник переименовал, систему перегрузил, запустилась))
Систему обновил! также обнаружил, что что-то делали с openssl и Gnupg Т.к. контрольные суммы не совпадают!
>
>Итак что вам нужно сделать сначала:
>Выяснить какие-именно вам нужны процессы и все остальные остановить, удалив заодно их
>пакеты.
Вроде сделал
>Систему обновить.
Сделал
>Ядро поставить с kernel.org и шляпное больше не юзать (если у вас
>не oracle)
Вот с этим сложно, как я соберу ядро нешляпное на удаленном сервере?
>Закрутить гайки в файрволе.
Уметь бы это:(
>Заменить openssh на ssh2 от ssh.com и сменить порт.
На удаленном сервере опять же сложно сделать
>Занести apache2 (именно 2, обновить если не так) в чрут с ежечасной
>сверкой md5sum на статический контент и конфигов. С провалом сверки, простая
>перезапись с внешнего источника и алерт (впрочем логи вы уже себе
>перенаправили).
https://www.opennet.ru/base/sec/apache2_chroot.txt.html
Читаю и пытаюсь сделать) модулей действительно очень много подгружено в апаче( >Подумать о смысле redhat в продакшене и потом освоить собственную сборку rpm
>критичных библиотек и приложений с оригинальных источников.
А какую бы вы систему посоветовали? Я все время сидел на Slackware) просто и удобно) Федора более навороченная >Уяснить раз и навсегда смысл selinux и настроить с макс. параноидальностью.
С ним мне еще нужно разбираться:((
И опять же как настроить его на удаленном сервере! А вот пиво пить пока рано:) еще работы много
спасибо:-)
- Взломали сервер, sashachaos, 23:45 , 16-Фев-07 (5)
Итак я попробовал обнаружить файлы, которые были созданы(изменены) во время взлома, также как и файл /usr/bin/wp
И многие я удалил - перименовал,но не могу ничего поделать с файлами:
/bin/netstat
/bin/ps
/bin/socklist
/usr/bin/chsh
Система запрещает что-то менять! но ведь как-то рутки "заразил" эти файлы, как бы мне их
заменить на нормальные?
- Взломали сервер, sashachaos, 01:23 , 17-Фев-07 (6)
вот еще lsmod, если поможет:yealink 19777 0
ipv6 314689 20
autofs4 28361 1
dm_mod 70673 0
video 23881 0
button 12513 0
battery 15561 0
ac 10313 0
uhci_hcd 41441 0
ehci_hcd 42701 0
shpchp 104393 0
i2c_i801 14677 0
i2c_core 31297 1 i2c_i801
snd_hda_intel 25216 0
snd_hda_codec 110533 1 snd_hda_intel
snd_seq_dummy 8773 0
snd_seq_oss 43301 0
snd_seq_midi_event 13505 1 snd_seq_oss
snd_seq 70553 5 snd_seq_dummy,snd_seq_oss,snd_seq_midi_event
snd_seq_device 15185 3 snd_seq_dummy,snd_seq_oss,snd_seq
snd_pcm_oss 64625 0
snd_mixer_oss 24001 1 snd_pcm_oss
snd_pcm 111305 3 snd_hda_intel,snd_hda_codec,snd_pcm_oss
snd_timer 33481 2 snd_seq,snd_pcm
snd 74529 9 snd_hda_intel,snd_hda_codec,snd_seq_oss,snd_seq,snd_seq_device,snd_pcm_oss,snd_mixer_oss,snd_pcm,snd_timer
soundcore 16353 1 snd
snd_page_alloc 17745 2 snd_hda_intel,snd_pcm
e100 47937 0
mii 10561 1 e100
floppy 79065 0
ext3 151633 4
jbd 71400 1 ext3
ata_piix 15301 5
libata 59857 1 ata_piix
sd_mod 24513 6
scsi_mod 167929 2 libata,sd_mod
|
Версия для распечатки
