wifi_master 132 Опубликовано: 2013-05-31 20:23:13 Share Опубликовано: 2013-05-31 20:23:13 Приветствую всех. Может кто сталкивался с такой траблой - началось с того что ломанули сервер какие то китайцы, зайти не удалось пароль сменили, восстановили пароль все вроде гуд, поработал неделю и тут понеслось, время от времени когда хочет, может вечером или ночью начинает грузить исходящий канал по максимуму! 140 тысяч пакетов в сек. Это все ловит ipcad и вешает нах проц сервера, тормоза жуткие. В процессах появился навесный процесс смотри скрин. Ссылка на сообщение Поделиться на других сайтах
Hash.cv 0 Опубліковано: 2013-05-31 20:34:24 Share Опубліковано: 2013-05-31 20:34:24 Посмотрите все файлы, измененные за тот период, найдите то, что вам подсунули и удалите. Моглизаменить и системные процессы – надо внимательно промониторить все изменения всистеме. Ссылка на сообщение Поделиться на других сайтах
martin 170 Опубліковано: 2013-05-31 20:36:05 Share Опубліковано: 2013-05-31 20:36:05 конфиги забекапь и переустанавливай сервак, так надежнее. Ссылка на сообщение Поделиться на других сайтах
Hash.cv 0 Опубліковано: 2013-05-31 20:37:26 Share Опубліковано: 2013-05-31 20:37:26 конфиги забекапь и переустанавливай сервак, так надежнее. надежнее то надежнее, но не всегда есть возможность переустановить Ссылка на сообщение Поделиться на других сайтах
LV10 273 Опубліковано: 2013-05-31 20:41:05 Share Опубліковано: 2013-05-31 20:41:05 ps -aux и проверить /tmp очерь вероятно - дырявый phpmyadmin Ссылка на сообщение Поделиться на других сайтах
wifi_master 132 Опубліковано: 2013-05-31 21:15:12 Автор Share Опубліковано: 2013-05-31 21:15:12 ps -aux и проверить /tmp очерь вероятно - дырявый phpmyadmin phpmyadmin нету, это шлюз. там кроме ната и ipcad, апача, collectd для рисования графиков ничего нету. Ссылка на сообщение Поделиться на других сайтах
LV10 273 Опубліковано: 2013-05-31 21:53:01 Share Опубліковано: 2013-05-31 21:53:01 тогда брут sshd или эксплойты для указанного софта, надо поискать Ссылка на сообщение Поделиться на других сайтах
muff 114 Опубліковано: 2013-05-31 22:12:57 Share Опубліковано: 2013-05-31 22:12:57 Попробуйте Lynis. Может он найдет проблему. Ссылка на сообщение Поделиться на других сайтах
skyll 1 Опубліковано: 2013-05-31 22:31:55 Share Опубліковано: 2013-05-31 22:31:55 (відредаговано) Первым делом удалите учетку "root" и переустановите сервак Самое первое правило в сетевой безопасности удалить учетку "root" Відредаговано 2013-05-31 23:35:42 skyll Ссылка на сообщение Поделиться на других сайтах
skyll 1 Опубліковано: 2013-05-31 22:36:14 Share Опубліковано: 2013-05-31 22:36:14 к нам на БС китайцы постоянно на 22 порт ломилясь, закрыли порт 22 и атаки прекротились Ссылка на сообщение Поделиться на других сайтах
Ромка 565 Опубліковано: 2013-05-31 23:15:46 Share Опубліковано: 2013-05-31 23:15:46 Первым делом удалите учетку "admin" и переустановите сервак Самое первое правило в сетевой безопасности удалить учетку "адми" Ссылка на сообщение Поделиться на других сайтах
skyll 1 Опубліковано: 2013-05-31 23:37:50 Share Опубліковано: 2013-05-31 23:37:50 Сори запарился, всетики пятницо Первым делом удалите учетку "admin" и переустановите сервак Самое первое правило в сетевой безопасности удалить учетку "адми" Сори запарился, все тики сегодня вечер пятници, или утро субботы Ссылка на сообщение Поделиться на других сайтах
onorua 126 Опубліковано: 2013-05-31 23:59:08 Share Опубліковано: 2013-05-31 23:59:08 Приветствую всех. Может кто сталкивался с такой траблой - началось с того что ломанули сервер какие то китайцы, зайти не удалось пароль сменили, восстановили пароль все вроде гуд, поработал неделю и тут понеслось, время от времени когда хочет, может вечером или ночью начинает грузить исходящий канал по максимуму! 140 тысяч пакетов в сек. Это все ловит ipcad и вешает нах проц сервера, тормоза жуткие. В процессах появился навесный процесс смотри скрин. Вам уже советовали переустановить все. Так вот вариант " не получается переустановить" не рассматривается после инцидентов безопасности. Проведите анализ логов, посмотрите как вас взломали а еще лучше когда (это поможет вам понять на сколько большая проблема и что взломщик мог получить). А дальше все удалить и установить с ноля. Других вариантов после взлома - нет. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2013-06-01 08:46:29 Share Опубліковано: 2013-06-01 08:46:29 (відредаговано) к нам на БС китайцы постоянно на 22 порт ломилясь, закрыли порт 22 и атаки прекротились я меняю стандартный порт ssh , на какой нибудь 55008 ну и бекапы системных файлов и папок. Відредаговано 2013-06-01 08:54:51 kvirtu Ссылка на сообщение Поделиться на других сайтах
ntil 57 Опубліковано: 2013-06-01 09:59:52 Share Опубліковано: 2013-06-01 09:59:52 сравните текущую систему с бэкапом. Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 914 Опубліковано: 2013-06-01 10:19:04 Share Опубліковано: 2013-06-01 10:19:04 Делаешь where is talk или which talk и смотришь где находится talk и что там налабали, а вообще, конечно лучше переставить систему, потому как дай мне на 5 минут доступ и раму там не соберешь. Ссылка на сообщение Поделиться на других сайтах
Sargas 52 Опубліковано: 2013-06-01 10:44:50 Share Опубліковано: 2013-06-01 10:44:50 Сохраняете конфиги. Находите этот бинарник с помощью find / -type f -name "talk". Смотрите дату создания вот таким образом stat -x filename , смотреть поле Change, так как его не возможно подделать с помощью touch. Смотрите логи веб сервера/фтп за это время и находите как вас ломанули. Так же перемонтируйте раздел /tmp с noexec,nosuid чтобы в случае если вам таки что-то снова зальют и скомпилят в /tmp , то не смогли это запустить (после этого некоторые порты могут не собираться, можно для сборки порта сменить tmpdir скажем на env TMPDIR=/home/TRASH) Проверьте /etc/rc* - файлы, чтобы там в автозагрузке не стояло ничего лишнего. Делаете make -s installworld чтобы системные бинарники стали родными, на случай если какой-то бинарник был подменен, потом mergemaster -iUF и ребут. Ссылка на сообщение Поделиться на других сайтах
wifi_master 132 Опубліковано: 2013-06-01 11:38:33 Автор Share Опубліковано: 2013-06-01 11:38:33 Нашел я эту суку. поубивал все talk. оно начало теперь создавать процесс 1. Суть механизма такая дергает себя по крону маскируясь по систему, потом собирает себя в папке /etc/.kde файл update дальше этот файл стартует запускает процес run, а он уже talk. Вот кусок кода. Походу оно. Где что еще засрали хз. видимо нужно убивать сервер... linkport -1 nick a login root ircname king of kings. modes wGix cmdchar @ userfile 1 set BANMODES 6 tog CLOAK 1 set AAWAY 0 tog NOIDLE 1 channel #new server xx.inger.be 81 server xx.inger.be 1986 server xx.inger.be 6667 server xx.inger.be 5822 server x.catalinx.org 84 server x.catalinx.org 82 server x.catalinx.org 83 server x.catalinx.org 81 server x.catalinx.org 5822 server x.catalinx.org 5823 Ссылка на сообщение Поделиться на других сайтах
Кеша 543 Опубліковано: 2013-06-01 18:36:40 Share Опубліковано: 2013-06-01 18:36:40 (відредаговано) и что, не можете из крона удалить записи? это же не винда с длл кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино? Відредаговано 2013-06-01 18:41:14 deneeska Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2013-06-01 18:52:11 Share Опубліковано: 2013-06-01 18:52:11 вы на сервак ходите ssh под рутом. кто вам буратино? да ниче страшного под рутом нет, только ssh на весь мир не светите Ссылка на сообщение Поделиться на других сайтах
KaYot 3 606 Опубліковано: 2013-06-01 18:57:34 Share Опубліковано: 2013-06-01 18:57:34 вы на сервак ходите ssh под рутом. кто вам буратино?да ниче страшного под рутом нет, только ssh на весь мир не светите Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо. Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубліковано: 2013-06-01 19:00:42 Share Опубліковано: 2013-06-01 19:00:42 Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо. Ага, знаю я таких людей, первым делом ставят sudo и всей "двойной" секьюрности как и не было. Ссылка на сообщение Поделиться на других сайтах
wifi_master 132 Опубліковано: 2013-06-01 20:07:46 Автор Share Опубліковано: 2013-06-01 20:07:46 и что, не можете из крона удалить записи? это же не винда с длл кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино? Все удалил, все уже ок. Систему пересобрал, глюки ушли. Ссылка на сообщение Поделиться на других сайтах
Melanxolik 63 Опубліковано: 2013-06-01 20:14:58 Share Опубліковано: 2013-06-01 20:14:58 проверяй ssh демона файл. его сейчас часто подменяют на уже пробитый. Ссылка на сообщение Поделиться на других сайтах
wifi_master 132 Опубліковано: 2013-06-01 20:20:40 Автор Share Опубліковано: 2013-06-01 20:20:40 проверяй ssh демона файл. его сейчас часто подменяют на уже пробитый. Закрыл нехер от греха подальше ссх из мира. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас