Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2015-03-30 14:26:52

  gutk - Użytkownik

gutk
Użytkownik
Zarejestrowany: 2012-03-26

Zainfekowany serwer - dziwne pliki pojawiające się w /

Witam,

Na jednym małym serwerze zauważyłem dziwną rzecz.. w katalogu / pojawiają się dziwne pliki 3503.rar 3502.rar i bardzo wymownie brzmiący plik o nazwie 'fuck'. Czytałem, że serwer mógł zostać zhakowany do DDOS ale przejrzałem logi i prócz crona i mnie nic tam nie znalazłem, czy jest jakiś sposób na wykrycie co to powoduje? Daty plików są sprzed roku.. nie wiem co dalej z tym robić, mógłbym napisać skrypt co to będzie usuwał ale nie w tym rzecz, przeskanowałem czy są wirusy i rootkity nic nie wyszło, pozmieniałem hasła boty są blokowane przez fail2ban choć czytałem na forum o lepszych mechanizmach planuje zablokować ruch z azji, afryki i innych. Na ten moment nic się nie dzieje ale nie wiem czy na tym serwerze mogę coś wrzucać poważniejszego, monitoruje ruch sieci.. co sugerujecie jeszcze posprawdzać?

Offline

 

#2  2015-03-30 14:35:36

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Zainfekowany serwer - dziwne pliki pojawiające się w /

1809

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:15:02)

Offline

 

#3  2015-03-30 14:52:55

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Zainfekowany serwer - dziwne pliki pojawiające się w /

[quote=gutk]Witam,

Na jednym małym serwerze zauważyłem dziwną rzecz.. w katalogu / pojawiają się dziwne pliki 3503.rar 3502.rar i bardzo wymownie brzmiący plik o nazwie 'fuck'. Czytałem, że serwer mógł zostać zhakowany do DDOS ale przejrzałem logi i prócz crona i mnie nic tam nie znalazłem, czy jest jakiś sposób na wykrycie co to powoduje? Daty plików są sprzed roku.. nie wiem co dalej z tym robić, mógłbym napisać skrypt co to będzie usuwał ale nie w tym rzecz, przeskanowałem czy są wirusy i rootkity nic nie wyszło, pozmieniałem hasła boty są blokowane przez fail2ban choć czytałem na forum o lepszych mechanizmach planuje zablokować ruch z azji, afryki i innych. Na ten moment nic się nie dzieje ale nie wiem czy na tym serwerze mogę coś wrzucać poważniejszego, monitoruje ruch sieci.. co sugerujecie jeszcze posprawdzać?[/quote]
Failban?

Jak trzymasz niewspierany system, czy go  nie aktualizujesz regularnie, do tego pewnie domyślnie puszczasz np Apacha czy Nginxa jako root (to zachowanie domyślne w systemie), do tego trzymasz może Proftpd bez szyfrowania, ale z dostępem do konta root (a może i sławnym backdoorem), i nie zabezpieczyłeś choćby poszczególnych usług nawet najprostszym systemem ACL, to możesz albo się nauczyć, jak się stawia bezpieczne serwery, albo się zająć polityką, bo do adminki serwerami internetowymi coś jednak trzeba umieć, i "czaić bazę".

I żaden Failban ani antywirus nie gwarantuje bez bezpiecznego  systemu, a DDOS to wcale nie jest najgorszy atak, jaki może się serwerowi przytrafić.

Powinieneś dokładnie zaorać ten system na serwerze, i postawić go od zera, tym razem porządnie i starannie.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2015-03-30 15:02:54)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2015-03-30 17:49:09

  gutk - Użytkownik

gutk
Użytkownik
Zarejestrowany: 2012-03-26

Re: Zainfekowany serwer - dziwne pliki pojawiające się w /

Dziękuję za tak szybkie odpowiedzi :)

1. Reinstalacja systemu - formatowanie DBAN dla pewności :P, rozumiem skuteczne i dziecinnie proste i to też mi przyszło do głowy

Doceniam waszą "troskę" ale ta maszyna nie przechowuje strategicznie istotnych rzeczy, jeżeli to padnie to nikt na świecie nie ucierpi (może jedynie chińskie boty które permanentnie próbują się zalogować :)

to możesz albo się nauczyć, jak się stawia bezpieczne serwery, albo się zająć polityką[/quote]
ja już jestem w partii


antywirus nie gwarantuje bez bezpiecznego  systemu[/quote]
oczywiście, że nie ale pomyślałem, że przeskanowanie nie zaszkodzi, rootkita, backdoora też nie znalazłem - jeżeli macie jakieś inne sprawdzone patenty na wyszukiwanie wszelkich anomalii w systemie to proszę o rady na ten moment to mi przyszło do głowy

Offline

 

#5  2015-03-30 17:55:19

  uzytkownikubunt - Zbanowany

uzytkownikubunt
Zbanowany
Zarejestrowany: 2012-04-25

Re: Zainfekowany serwer - dziwne pliki pojawiające się w /

1811

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:15:04)

Offline

 

#6  2015-03-30 20:39:29

  gutk - Użytkownik

gutk
Użytkownik
Zarejestrowany: 2012-03-26

Re: Zainfekowany serwer - dziwne pliki pojawiające się w /

Jak ktoś ci uruchomi serwer stron www, wrzuci np zakazaną prawem pornografię i wystawi to wszystko w necie[/quote]
Błagam was... zwłaszcza, że serwer jest za NATem praktycznie go nie widać z sieci ale haker pootwiera porty na routerze zainstaluje apache skonfiguruje domeny i wrzuci porno content na serwer gdzie upload jest wycięty do 10kb/s jeszcze w taki sposób, że tego nie zobaczę..zwłaszcza, że monitoruje go prawie non stop

Proszę nie piszcie jaki to jestem zły i nie dobry bo nie aktualizuje systemu (nie wiem skąd ten wniosek).. nie o tym chciałem pisać

Może ktoś spotkał się u siebie albo gdzieś albo walczył (inaczej niż poprzez zaoranie całości) z Linux/XOR.DDoS Podaje linka do bloga
[url]http://blog.malwaremustdie.org/2014/09/mmd-0028-2014-fuzzy-reversing-new-china.html[/url]

.. po kilku dniach serwer nie umarł.. ale zaczął dodawać użytkowników i modyfikował shadow - głównie próby wysyłania spamu, wg niektórych źródeł tego nie da się naprawić.. choć po zmianie uprawnień usunięciu tego co wirus zaczął robić, reboocie poza bałaganem wszystko działa - ja to usuwam totalnie niestety clamav i rootkit hunter nie są skuteczne

pozdrawiam

Ostatnio edytowany przez gutk (2015-04-08 09:18:24)

Offline

 

#7  2015-04-23 09:15:48

  bobycob - Członek z Ramienia

bobycob
Członek z Ramienia
Skąd: Wrocław
Zarejestrowany: 2007-08-15

Re: Zainfekowany serwer - dziwne pliki pojawiające się w /

Na działającym systemie raczej się nie dowiesz co się działo.
Pierwsza rzecz którą mogłeś zrobić to zrzucanie na innej maszynie ruchu do tego serwera - choćby proste net flow, aby zobaczyć co i na jakim porcie się łączy.
Druga rzecz, jeśli rzeczywiście jest rootkit, to może być trudno narzędziami systemowymi go znaleźć.
Czyli wyłączasz maszynę, podmontowujesz gdzieś system plików i tam przeglądasz. Wtedy jest szansa, że dojdziesz co się działo.

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00009 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00196 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.139.98.10' WHERE u.id=1
0.00067 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.139.98.10', 1732303858)
0.00028 SELECT * FROM punbb_online WHERE logged<1732303558
0.00108 SELECT topic_id FROM punbb_posts WHERE id=285307
0.00005 SELECT id FROM punbb_posts WHERE topic_id=27233 ORDER BY posted
0.00064 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27233 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00141 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27233 ORDER BY p.id LIMIT 0,25
0.00065 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27233
Total query time: 0.00692 s