Взломали сервер, sashachaos, 04-Фев-07, 17:21 [смотреть все]Добрый день! Взломали сервер арендованный в US. Что можете посоветовать? Хакеры изменили конфиг апача и перенесли его. На серваке стоит: squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D Объясните мне тупому можно ли через открытые прокси через squid посылать email извне? т.к. пришел абуз от spamcop.net, что с сервака 60 000 писем ушло и положило сервак какой-то!мне кажется, что на серваке есть троян, который переодически меняет конфиг апача и возможно еще делает что-то По совету запустил chkrootkit: Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `crontab'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not infected Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... not infected Checking `inetd'... not tested Checking `inetdconf'... not found Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... not infected Checking `named'... not infected Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not found Checking `sendmail'... not infected Checking `sshd'... not infected Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not infected Checking `timed'... not found Checking `traceroute'... not infected Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... nothing found Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for MonKit... nothing found Searching for Showtee... nothing found Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for LOC rootkit... nothing found Searching for Romanian rootkit... nothing found Searching for HKRK rootkit... nothing found Searching for Suckit rootkit... nothing found Searching for Volc rootkit... nothing found Searching for Gold2 rootkit... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for AjaKit rootkit default files and dirs... nothing found Searching for zaRwT rootkit default files and dirs... nothing found Searching for Madalin rootkit default files... nothing found Searching for Fu rootkit default files... nothing found Searching for ESRK rootkit default files... nothing found Searching for rootedoor... nothing found Searching for ENYELKM rootkit default files... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... You have 4 process hidden for readdir command You have 7 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed Checking `rexedcs'... not found Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets Checking `w55808'... not infected Checking `wted'... chkwtmp: nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... chklastlog: nothing deleted Checking `chkutmp'... chkutmp: nothing deleted Ругается на Possible LKM Trojan installed Но вроде я посмотрел ничего такого в скрытых пакетах нет, ядро 2.6 auditd 1673 /usr/sbin/kernel@-f@/etc/kernel_config /usr/sbin/named usr/sbin/kernel-f/etc/kernel_config /usr/sbin/kernel-f/etc/kernel_config RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так и не понял OS Fedora Core 4 Просьба не смеятся над ламерами админами, а помочь, кто сможет Прочитал в соседней теме, что могут ломануть через ssl и ssh, но я к сожалению ничего не понимаю в этом как понять что через это ломанули(
Заранее спасибо за ответ! |
- Взломали сервер, exn, 19:46 , 04-Фев-07 (1)
- Взломали сервер, Dmitry, 20:46 , 04-Фев-07 (2)
- Взломали сервер, bass, 12:23 , 05-Фев-07 (3)
- Взломали сервер, sashachaos, 00:18 , 16-Фев-07 (4)
Огромное спасибо за ответ, очень много полезной информации! Я за это время тоже многое накопал! Итак сервак не принадлежит мне, и я к сожалению только учусь администрировать! Хозяину некогда и по фигу, поэтому наверное сервак легко и взломали! Сервак действительно нужен в US, т.к. там размещается большое количество сайтов! Я занимаюсь данным серваком, т.к. у меня там расположен сайт и просто интересно, в качестве обучения! >>На серваке стоит: >>squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D Сквид оказывается нужен хозяину, я его временно убил Однако спам как шел:( так и идет!
>>RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так >>и не понял > >RedHate Edge Tech holes. Не стоит непатченную шляпу в продакшн ставить Итак руткитхантер находит троян по бинарнику /usr/bin/wp в процессах и в скрытых я такого не нашел! Как снести его не знаю! Бинарник переименовал, систему перегрузил, запустилась)) Систему обновил! также обнаружил, что что-то делали с openssl и Gnupg Т.к. контрольные суммы не совпадают! > >Итак что вам нужно сделать сначала: >Выяснить какие-именно вам нужны процессы и все остальные остановить, удалив заодно их >пакеты. Вроде сделал >Систему обновить. Сделал >Ядро поставить с kernel.org и шляпное больше не юзать (если у вас >не oracle) Вот с этим сложно, как я соберу ядро нешляпное на удаленном сервере?
>Закрутить гайки в файрволе. Уметь бы это:( >Заменить openssh на ssh2 от ssh.com и сменить порт. На удаленном сервере опять же сложно сделать >Занести apache2 (именно 2, обновить если не так) в чрут с ежечасной >сверкой md5sum на статический контент и конфигов. С провалом сверки, простая >перезапись с внешнего источника и алерт (впрочем логи вы уже себе >перенаправили). https://www.opennet.ru/base/sec/apache2_chroot.txt.html Читаю и пытаюсь сделать) модулей действительно очень много подгружено в апаче( >Подумать о смысле redhat в продакшене и потом освоить собственную сборку rpm >критичных библиотек и приложений с оригинальных источников. А какую бы вы систему посоветовали? Я все время сидел на Slackware) просто и удобно) Федора более навороченная >Уяснить раз и навсегда смысл selinux и настроить с макс. параноидальностью. С ним мне еще нужно разбираться:(( И опять же как настроить его на удаленном сервере! А вот пиво пить пока рано:) еще работы много спасибо:-)
- Взломали сервер, sashachaos, 23:45 , 16-Фев-07 (5)
Итак я попробовал обнаружить файлы, которые были созданы(изменены) во время взлома, также как и файл /usr/bin/wp И многие я удалил - перименовал,но не могу ничего поделать с файлами: /bin/netstat /bin/ps /bin/socklist /usr/bin/chsh Система запрещает что-то менять! но ведь как-то рутки "заразил" эти файлы, как бы мне их заменить на нормальные?
- Взломали сервер, sashachaos, 01:23 , 17-Фев-07 (6)
вот еще lsmod, если поможет:yealink 19777 0 ipv6 314689 20 autofs4 28361 1 dm_mod 70673 0 video 23881 0 button 12513 0 battery 15561 0 ac 10313 0 uhci_hcd 41441 0 ehci_hcd 42701 0 shpchp 104393 0 i2c_i801 14677 0 i2c_core 31297 1 i2c_i801 snd_hda_intel 25216 0 snd_hda_codec 110533 1 snd_hda_intel snd_seq_dummy 8773 0 snd_seq_oss 43301 0 snd_seq_midi_event 13505 1 snd_seq_oss snd_seq 70553 5 snd_seq_dummy,snd_seq_oss,snd_seq_midi_event snd_seq_device 15185 3 snd_seq_dummy,snd_seq_oss,snd_seq snd_pcm_oss 64625 0 snd_mixer_oss 24001 1 snd_pcm_oss snd_pcm 111305 3 snd_hda_intel,snd_hda_codec,snd_pcm_oss snd_timer 33481 2 snd_seq,snd_pcm snd 74529 9 snd_hda_intel,snd_hda_codec,snd_seq_oss,snd_seq,snd_seq_device,snd_pcm_oss,snd_mixer_oss,snd_pcm,snd_timer soundcore 16353 1 snd snd_page_alloc 17745 2 snd_hda_intel,snd_pcm e100 47937 0 mii 10561 1 e100 floppy 79065 0 ext3 151633 4 jbd 71400 1 ext3 ata_piix 15301 5 libata 59857 1 ata_piix sd_mod 24513 6 scsi_mod 167929 2 libata,sd_mod
|