Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Witam,
Na jednym małym serwerze zauważyłem dziwną rzecz.. w katalogu / pojawiają się dziwne pliki 3503.rar 3502.rar i bardzo wymownie brzmiący plik o nazwie 'fuck'. Czytałem, że serwer mógł zostać zhakowany do DDOS ale przejrzałem logi i prócz crona i mnie nic tam nie znalazłem, czy jest jakiś sposób na wykrycie co to powoduje? Daty plików są sprzed roku.. nie wiem co dalej z tym robić, mógłbym napisać skrypt co to będzie usuwał ale nie w tym rzecz, przeskanowałem czy są wirusy i rootkity nic nie wyszło, pozmieniałem hasła boty są blokowane przez fail2ban choć czytałem na forum o lepszych mechanizmach planuje zablokować ruch z azji, afryki i innych. Na ten moment nic się nie dzieje ale nie wiem czy na tym serwerze mogę coś wrzucać poważniejszego, monitoruje ruch sieci.. co sugerujecie jeszcze posprawdzać?
Offline
1809
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:15:02)
Offline
[quote=gutk]Witam,
Na jednym małym serwerze zauważyłem dziwną rzecz.. w katalogu / pojawiają się dziwne pliki 3503.rar 3502.rar i bardzo wymownie brzmiący plik o nazwie 'fuck'. Czytałem, że serwer mógł zostać zhakowany do DDOS ale przejrzałem logi i prócz crona i mnie nic tam nie znalazłem, czy jest jakiś sposób na wykrycie co to powoduje? Daty plików są sprzed roku.. nie wiem co dalej z tym robić, mógłbym napisać skrypt co to będzie usuwał ale nie w tym rzecz, przeskanowałem czy są wirusy i rootkity nic nie wyszło, pozmieniałem hasła boty są blokowane przez fail2ban choć czytałem na forum o lepszych mechanizmach planuje zablokować ruch z azji, afryki i innych. Na ten moment nic się nie dzieje ale nie wiem czy na tym serwerze mogę coś wrzucać poważniejszego, monitoruje ruch sieci.. co sugerujecie jeszcze posprawdzać?[/quote]
Failban?
Jak trzymasz niewspierany system, czy go nie aktualizujesz regularnie, do tego pewnie domyślnie puszczasz np Apacha czy Nginxa jako root (to zachowanie domyślne w systemie), do tego trzymasz może Proftpd bez szyfrowania, ale z dostępem do konta root (a może i sławnym backdoorem), i nie zabezpieczyłeś choćby poszczególnych usług nawet najprostszym systemem ACL, to możesz albo się nauczyć, jak się stawia bezpieczne serwery, albo się zająć polityką, bo do adminki serwerami internetowymi coś jednak trzeba umieć, i "czaić bazę".
I żaden Failban ani antywirus nie gwarantuje bez bezpiecznego systemu, a DDOS to wcale nie jest najgorszy atak, jaki może się serwerowi przytrafić.
Powinieneś dokładnie zaorać ten system na serwerze, i postawić go od zera, tym razem porządnie i starannie.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2015-03-30 15:02:54)
Offline
Dziękuję za tak szybkie odpowiedzi :)
1. Reinstalacja systemu - formatowanie DBAN dla pewności :P, rozumiem skuteczne i dziecinnie proste i to też mi przyszło do głowy
Doceniam waszą "troskę" ale ta maszyna nie przechowuje strategicznie istotnych rzeczy, jeżeli to padnie to nikt na świecie nie ucierpi (może jedynie chińskie boty które permanentnie próbują się zalogować :)
to możesz albo się nauczyć, jak się stawia bezpieczne serwery, albo się zająć polityką[/quote]
ja już jestem w partiiantywirus nie gwarantuje bez bezpiecznego systemu[/quote]
oczywiście, że nie ale pomyślałem, że przeskanowanie nie zaszkodzi, rootkita, backdoora też nie znalazłem - jeżeli macie jakieś inne sprawdzone patenty na wyszukiwanie wszelkich anomalii w systemie to proszę o rady na ten moment to mi przyszło do głowyOffline
1811
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:15:04)
Offline
Jak ktoś ci uruchomi serwer stron www, wrzuci np zakazaną prawem pornografię i wystawi to wszystko w necie[/quote]
Błagam was... zwłaszcza, że serwer jest za NATem praktycznie go nie widać z sieci ale haker pootwiera porty na routerze zainstaluje apache skonfiguruje domeny i wrzuci porno content na serwer gdzie upload jest wycięty do 10kb/s jeszcze w taki sposób, że tego nie zobaczę..zwłaszcza, że monitoruje go prawie non stop
Proszę nie piszcie jaki to jestem zły i nie dobry bo nie aktualizuje systemu (nie wiem skąd ten wniosek).. nie o tym chciałem pisać
Może ktoś spotkał się u siebie albo gdzieś albo walczył (inaczej niż poprzez zaoranie całości) z Linux/XOR.DDoS Podaje linka do bloga
[url]http://blog.malwaremustdie.org/2014/09/mmd-0028-2014-fuzzy-reversing-new-china.html[/url]
.. po kilku dniach serwer nie umarł.. ale zaczął dodawać użytkowników i modyfikował shadow - głównie próby wysyłania spamu, wg niektórych źródeł tego nie da się naprawić.. choć po zmianie uprawnień usunięciu tego co wirus zaczął robić, reboocie poza bałaganem wszystko działa - ja to usuwam totalnie niestety clamav i rootkit hunter nie są skuteczne
pozdrawiamOstatnio edytowany przez gutk (2015-04-08 09:18:24)
Offline
Na działającym systemie raczej się nie dowiesz co się działo.
Pierwsza rzecz którą mogłeś zrobić to zrzucanie na innej maszynie ruchu do tego serwera - choćby proste net flow, aby zobaczyć co i na jakim porcie się łączy.
Druga rzecz, jeśli rzeczywiście jest rootkit, to może być trudno narzędziami systemowymi go znaleźć.
Czyli wyłączasz maszynę, podmontowujesz gdzieś system plików i tam przeglądasz. Wtedy jest szansa, że dojdziesz co się działo.
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00093 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.128.31.227' WHERE u.id=1 |
0.00138 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.128.31.227', 1732283609) |
0.00045 | SELECT * FROM punbb_online WHERE logged<1732283309 |
0.00069 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27233 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00182 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27233 ORDER BY p.id LIMIT 0,25 |
0.00082 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27233 |
Total query time: 0.00628 s |