форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"Взломали сервер"		+/–
Сообщение от sashachaos (ok) on 04-Фев-07, 17:21
Добрый день! Взломали сервер арендованный в US. Что можете посоветовать? Хакеры изменили конфиг апача и перенесли его. На серваке стоит: squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D Объясните мне тупому можно ли через открытые прокси через squid посылать email извне? т.к. пришел абуз от spamcop.net, что с сервака 60 000 писем ушло и положило сервак какой-то! мне кажется, что на серваке есть троян, который переодически меняет конфиг апача и возможно еще делает что-то По совету запустил chkrootkit: Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `crontab'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not infected Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... not infected Checking `inetd'... not tested Checking `inetdconf'... not found Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... not infected Checking `named'... not infected Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not found Checking `sendmail'... not infected Checking `sshd'... not infected Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not infected Checking `timed'... not found Checking `traceroute'... not infected Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... nothing found Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for MonKit... nothing found Searching for Showtee... nothing found Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for LOC rootkit... nothing found Searching for Romanian rootkit... nothing found Searching for HKRK rootkit... nothing found Searching for Suckit rootkit... nothing found Searching for Volc rootkit... nothing found Searching for Gold2 rootkit... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for AjaKit rootkit default files and dirs... nothing found Searching for zaRwT rootkit default files and dirs... nothing found Searching for Madalin rootkit default files... nothing found Searching for Fu rootkit default files... nothing found Searching for ESRK rootkit default files... nothing found Searching for rootedoor... nothing found Searching for ENYELKM rootkit default files... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... You have 4 process hidden for readdir command You have 7 process hidden for ps command chkproc: Warning: Possible LKM Trojan installed Checking `rexedcs'... not found Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets Checking `w55808'... not infected Checking `wted'... chkwtmp: nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... chklastlog: nothing deleted Checking `chkutmp'... chkutmp: nothing deleted Ругается на Possible LKM Trojan installed Но вроде я посмотрел ничего такого в скрытых пакетах нет, ядро 2.6 auditd 1673 /usr/sbin/kernel@-f@/etc/kernel_config /usr/sbin/named usr/sbin/kernel-f/etc/kernel_config /usr/sbin/kernel-f/etc/kernel_config RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так и не понял OS Fedora Core 4 Просьба не смеятся над ламерами админами, а помочь, кто сможет Прочитал в соседней теме, что могут ломануть через ssl и ssh, но я к сожалению ничего не понимаю в этом как понять что через это ломанули( Заранее спасибо за ответ!
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Взломали сервер"		+/–
Сообщение от exn on 04-Фев-07, 19:46
Главное вовремя спохватиццо, попробуй отследить откуда что идет, хужеж небудет, не паникуй
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Взломали сервер"		+/–
Сообщение от Dmitry (??) on 04-Фев-07, 20:46
> chkproc: Warning: Possible LKM Trojan installed Это говорит о том, что какая-то программа запустила несколько скрытых процессов. Напрмер, это делает Mozilla. chrootkit ругается на это во многих только что установленных дистрибутивах. Сам проверял только что установленный AltLinux Master 2.4 и chrootkit ругался на это
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Взломали сервер"		+/–
Сообщение от bass (??) on 05-Фев-07, 12:23
>Добрый день! >Взломали сервер арендованный в US. Сменить хостера на поближе, если вы сам не оттуда >Что можете посоветовать? >Хакеры изменили конфиг апача и перенесли его. >На серваке стоит: >squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D вот с этого момента: зачем на арендованном серваке у вас squid? > >Объясните мне тупому можно ли через открытые прокси через squid посылать email >извне? т.к. пришел абуз от spamcop.net, что с сервака 60 000 >писем ушло и положило сервак какой-то! сквид не сквид, но прокси бывают разные - можно через socks и сквид плагины. > >мне кажется, что на серваке есть троян, который >переодически меняет конфиг апача и возможно еще делает что-то Кажется, это лишь догадки. Так что именно делает сервак арендованный в УС? >По совету запустил chkrootkit: вот здесь нужно постить только то, что infected :) >Checking `amd'... not found --skip-- >Ругается на Possible LKM Trojan installed >Но вроде я посмотрел ничего такого в скрытых пакетах нет, ядро 2.6 это фигня, загляните по какому признаку он так думает и снесите его никогда не запуская больше. > >auditd 1673 >/usr/sbin/kernel@-f@/etc/kernel_config >/usr/sbin/named >usr/sbin/kernel-f/etc/kernel_config >/usr/sbin/kernel-f/etc/kernel_config >RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так >и не понял RedHate Edge Tech holes. Не стоит непатченную шляпу в продакшн ставить Итак что вам нужно сделать сначала: Выяснить какие-именно вам нужны процессы и все остальные остановить, удалив заодно их пакеты. Систему обновить. Ядро поставить с kernel.org и шляпное больше не юзать (если у вас не oracle) Все логи перенаправить себе. Закрутить гайки в файрволе. Заменить openssh на ssh2 от ssh.com и сменить порт. Занести apache2 (именно 2, обновить если не так) в чрут с ежечасной сверкой md5sum на статический контент и конфигов. С провалом сверки, простая перезапись с внешнего источника и алерт (впрочем логи вы уже себе перенаправили). Ещё раз критично осмотреть процессы и лишние файлы по всей системе. Что сделать после этого: Перечитать apache secure methods. Перепроверить _все_ самописные скрипты и _все_ скрипты для вашего www. По возможности отказаться от php. Подумать о смысле redhat в продакшене и потом освоить собственную сборку rpm критичных библиотек и приложений с оригинальных источников. Уяснить раз и навсегда смысл selinux и настроить с макс. параноидальностью. Настроить алерты в коллекторе логов. Попить пиво за элементарную работу которую сразу нужно было сделать после установки системы. Попивая пиво доделать мелочи безопасности.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Взломали сервер"		+/–
	Сообщение от sashachaos (ok) on 16-Фев-07, 00:18
	Огромное спасибо за ответ, очень много полезной информации! Я за это время тоже многое накопал! Итак сервак не принадлежит мне, и я к сожалению только учусь администрировать! Хозяину некогда и по фигу, поэтому наверное сервак легко и взломали! Сервак действительно нужен в US, т.к. там размещается большое количество сайтов! Я занимаюсь данным серваком, т.к. у меня там расположен сайт и просто интересно, в качестве обучения! >>На серваке стоит: >>squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D Сквид оказывается нужен хозяину, я его временно убил Однако спам как шел:( так и идет! >>RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так >>и не понял > >RedHate Edge Tech holes. Не стоит непатченную шляпу в продакшн ставить Итак руткитхантер находит троян по бинарнику /usr/bin/wp  в процессах и в скрытых я такого не нашел! Как снести его не знаю! Бинарник переименовал, систему перегрузил, запустилась)) Систему обновил! также обнаружил, что что-то делали с openssl и Gnupg Т.к. контрольные суммы не совпадают! > >Итак что вам нужно сделать сначала: >Выяснить какие-именно вам нужны процессы и все остальные остановить, удалив заодно их >пакеты. Вроде сделал >Систему обновить. Сделал >Ядро поставить с kernel.org и шляпное больше не юзать (если у вас >не oracle) Вот с этим сложно, как я соберу ядро нешляпное на удаленном сервере? >Закрутить гайки в файрволе. Уметь бы это:( >Заменить openssh на ssh2 от ssh.com и сменить порт. На удаленном сервере опять же сложно сделать >Занести apache2 (именно 2, обновить если не так) в чрут с ежечасной >сверкой md5sum на статический контент и конфигов. С провалом сверки, простая >перезапись с внешнего источника и алерт (впрочем логи вы уже себе >перенаправили). http://www.opennet.ru/base/sec/apache2_chroot.txt.html Читаю и пытаюсь сделать) модулей действительно очень много подгружено в апаче( >Подумать о смысле redhat в продакшене и потом освоить собственную сборку rpm >критичных библиотек и приложений с оригинальных источников. А какую бы вы систему посоветовали? Я все время сидел на Slackware) просто и удобно) Федора более навороченная >Уяснить раз и навсегда смысл selinux и настроить с макс. параноидальностью. С ним мне еще нужно разбираться:(( И опять же как настроить его на удаленном сервере! А вот пиво пить пока рано:) еще работы много спасибо:-)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Взломали сервер"		+/–
	Сообщение от sashachaos (ok) on 16-Фев-07, 23:45
	Итак я попробовал обнаружить файлы, которые были созданы(изменены) во время взлома, также как и файл /usr/bin/wp И многие я удалил - перименовал,но не могу ничего поделать с файлами: /bin/netstat /bin/ps /bin/socklist /usr/bin/chsh Система запрещает что-то менять! но ведь как-то рутки "заразил" эти файлы, как бы мне их заменить на нормальные?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Взломали сервер"		+/–
	Сообщение от sashachaos (ok) on 17-Фев-07, 01:23
	вот еще lsmod, если поможет: yealink                19777  0 ipv6                  314689  20 autofs4                28361  1 dm_mod                 70673  0 video                  23881  0 button                 12513  0 battery                15561  0 ac                     10313  0 uhci_hcd               41441  0 ehci_hcd               42701  0 shpchp                104393  0 i2c_i801               14677  0 i2c_core               31297  1 i2c_i801 snd_hda_intel          25216  0 snd_hda_codec         110533  1 snd_hda_intel snd_seq_dummy           8773  0 snd_seq_oss            43301  0 snd_seq_midi_event     13505  1 snd_seq_oss snd_seq                70553  5 snd_seq_dummy,snd_seq_oss,snd_seq_midi_event snd_seq_device         15185  3 snd_seq_dummy,snd_seq_oss,snd_seq snd_pcm_oss            64625  0 snd_mixer_oss          24001  1 snd_pcm_oss snd_pcm               111305  3 snd_hda_intel,snd_hda_codec,snd_pcm_oss snd_timer              33481  2 snd_seq,snd_pcm snd                    74529  9 snd_hda_intel,snd_hda_codec,snd_seq_oss,snd_seq,snd_seq_device,snd_pcm_oss,snd_mixer_oss,snd_pcm,snd_timer soundcore              16353  1 snd snd_page_alloc         17745  2 snd_hda_intel,snd_pcm e100                   47937  0 mii                    10561  1 e100 floppy                 79065  0 ext3                  151633  4 jbd                    71400  1 ext3 ata_piix               15301  5 libata                 59857  1 ata_piix sd_mod                 24513  6 scsi_mod              167929  2 libata,sd_mod
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Взломали сервер"		+/–
	Сообщение от Junior (ok) on 17-Фев-07, 15:42
	У тебя там что - музыкальная станция запущена на СЕРВЕРЕ?   ps axef   ps axuv Этого должно хватить посмотреть что откуда запускается и откуда подгружается.   lsof -i Ну и netstat посмотри что выдаёт. Утилиту ps лучше поставь снова из проверенного источника, а лучше скомпилируй там же и запусти указав абсолютный путь к новому ps.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Взломали сервер"		+/–
	Сообщение от melnik (??) on 21-Фев-07, 01:08
	>У тебя там что - музыкальная станция запущена на СЕРВЕРЕ? > >  ps axef >  ps axuv > >Этого должно хватить посмотреть что откуда запускается >и откуда подгружается. > >  lsof -i > >Ну и netstat посмотри что выдаёт. Утилиту ps лучше поставь снова из > >проверенного источника, а лучше скомпилируй там же и запусти указав абсолютный путь > >к новому ps. мой совет - переставить полностью систему, мало чего еще оставили хакера на твоём серваке!!!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Взломали сервер"		+/–
	Сообщение от none (??) on 22-Дек-09, 15:33
	Народ я короче покупал свой лицензионный дёдик покупал потом мне повестка в армию пришла, я решил перестраховаться и дёдик продал, кому я его продал он половину суммы отдал половину не стал возвращать, вот я и решил его наказать и выложил все даннные сервера, билинг панель и все айпи сервера, думаю может кому станет интересно и кто решит взломать дёдик..взранее благодарен..Все данные сервера: Intel Pentium Dual Core E5300 2 x 2.6 Ghz  2GB DDR2  500GB  SATA 600 UAH   Билинг панель: https://cp.hosting.ua:443/psoft/servlet/psoft.hsphere.CP Логин: skull Пароль: 21262427 Данные для управления сервером: Main IP : 213.155.18.216 Additional IP: 213.155.18.217 213.155.18.218 213.155.18.219 213.155.18.220 213.155.18.221 213.155.18.222 213.155.18.223 Netmask: 255.255.255.0 Gateway: 213.155.18.254 login: Administrator password: 2126Qwerty
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема