Jump to content

Хелп! Ломанули сервер!

wifi_master

By wifi_master,
in Software

 Share Followers 1

Recommended Posts

wifi_master

wifi_master 132

Posted
Posted

Приветствую всех.

 

   Может кто сталкивался с такой траблой - началось с того что ломанули сервер какие то китайцы, зайти не удалось пароль сменили, восстановили пароль все вроде гуд, поработал неделю и тут понеслось, время от времени когда хочет, может вечером или ночью начинает грузить исходящий канал по максимуму! 140 тысяч пакетов в сек. Это все ловит ipcad и вешает нах проц сервера, тормоза жуткие. В процессах появился навесный процесс смотри скрин.  

 

 

 

post-6450-0-17767900-1370031774_thumb.jpg

Link to post
Share on other sites
  • Replies 72
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Кеша

и что, не можете из крона удалить записи? это же не винда с длл кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино?

KaYot

Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо.

UStas_rinet

Вообще по феншую делать так: - меняете порт ssh, лучьше за 30000, туда сканерами при массовом сборе дырявых серваков обычно не ходят, ну конечно если не хотят поломать конкретно вас - делаете персона

Posted Images

Hash.cv

Hash.cv 0

Posted
Posted

Посмотрите все файлы, измененные за тот период, найдите то, что вам подсунули и удалите. Могли
заменить и системные процессы – надо внимательно промониторить все изменения в
системе. 

Link to post
Share on other sites
Hash.cv

Hash.cv 0

Posted
Posted

конфиги забекапь и переустанавливай сервак, так надежнее.

надежнее то надежнее, но не всегда есть возможность переустановить

Link to post
Share on other sites
wifi_master

wifi_master 132

Posted
  • Author
Posted

ps -aux

 

и проверить /tmp

 

очерь вероятно - дырявый phpmyadmin

phpmyadmin нету, это шлюз. там кроме ната и ipcad, апача, collectd для  рисования графиков ничего нету. 

Link to post
Share on other sites
skyll

skyll 1

Posted
Posted (edited)

Первым делом удалите учетку "root" и переустановите сервак

Самое первое правило в сетевой безопасности удалить учетку "root" 

Edited by skyll
Link to post
Share on other sites
Ромка

Ромка 567

Posted
Posted

Первым делом удалите учетку "admin" и переустановите сервак

Самое первое правило в сетевой безопасности удалить учетку "адми" 

:facepalm:

Link to post
Share on other sites
skyll

skyll 1

Posted
Posted

Сори запарился, всетики пятницо 

 

 

Первым делом удалите учетку "admin" и переустановите сервак

Самое первое правило в сетевой безопасности удалить учетку "адми" 

:facepalm:

Сори запарился, все тики сегодня вечер пятници, или утро субботы 

Link to post
Share on other sites
exnetlife

exnetlife 126

Posted
Posted

Приветствую всех.

 

   Может кто сталкивался с такой траблой - началось с того что ломанули сервер какие то китайцы, зайти не удалось пароль сменили, восстановили пароль все вроде гуд, поработал неделю и тут понеслось, время от времени когда хочет, может вечером или ночью начинает грузить исходящий канал по максимуму! 140 тысяч пакетов в сек. Это все ловит ipcad и вешает нах проц сервера, тормоза жуткие. В процессах появился навесный процесс смотри скрин.  

 

Вам уже советовали переустановить все. Так вот вариант " не получается переустановить" не рассматривается после инцидентов безопасности. Проведите анализ логов, посмотрите как вас взломали а еще лучше когда (это поможет вам понять на сколько большая проблема и что взломщик мог получить). А дальше все удалить и установить с ноля. Других вариантов после взлома - нет. 

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
Posted (edited)

к нам на БС китайцы постоянно на 22 порт ломилясь, закрыли порт 22 и атаки прекротились

я меняю стандартный порт ssh , на какой нибудь 55008 ну и бекапы системных файлов и папок.

Edited by kvirtu
Link to post
Share on other sites
pavlabor

pavlabor 1,977

Posted
Posted

Делаешь

where is talk

или

which talk

 

и смотришь где находится talk и что там налабали,

а вообще, конечно лучше переставить систему, потому как дай мне на 5 минут доступ и раму там не соберешь.

Link to post
Share on other sites
Sargas

Sargas 52

Posted
Posted

Сохраняете конфиги.

Находите этот бинарник с помощью find / -type f -name "talk". Смотрите дату создания вот таким образом stat -x filename , смотреть поле Change, так как его не возможно подделать с помощью touch. Смотрите логи веб сервера/фтп за это время и находите как вас ломанули.

 

Так же перемонтируйте раздел /tmp с noexec,nosuid чтобы в случае если вам таки что-то снова зальют и скомпилят в /tmp , то не смогли это запустить (после этого некоторые порты могут не собираться, можно для сборки порта сменить tmpdir скажем на env TMPDIR=/home/TRASH)

 

Проверьте /etc/rc* - файлы, чтобы там в автозагрузке не стояло ничего лишнего.

Делаете make -s installworld чтобы системные бинарники стали родными, на случай если какой-то бинарник был подменен, потом mergemaster -iUF и ребут.

Link to post
Share on other sites
wifi_master

wifi_master 132

Posted
  • Author
Posted

Нашел я эту суку. поубивал все talk. оно начало теперь создавать процесс 1. Суть механизма такая дергает себя по крону маскируясь по систему, потом собирает себя в папке /etc/.kde файл update дальше этот файл стартует запускает процес run, а он уже talk. 

Вот кусок кода. Походу оно. Где что еще засрали хз. видимо нужно убивать сервер...

 

 

linkport -1
 
nick a
login root
ircname king of kings.
modes wGix
cmdchar @
userfile 1
 
set BANMODES 6
tog CLOAK 1
set AAWAY 0
tog NOIDLE 1
channel #new
 
server xx.inger.be 81
server xx.inger.be 1986
server xx.inger.be 6667
server xx.inger.be 5822
server x.catalinx.org 84
server x.catalinx.org 82
server x.catalinx.org 83
server x.catalinx.org 81
server x.catalinx.org 5822
server x.catalinx.org 5823
Link to post
Share on other sites
Кеша

Кеша 546

Posted
Posted (edited)

и что, не можете из крона удалить записи?

это же не винда с длл

кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино?

Edited by deneeska
Link to post
Share on other sites
ttttt

ttttt 195

Posted
Posted

 

вы на сервак ходите ssh под рутом. кто вам буратино?

да ниче страшного под рутом нет, только ssh на весь мир не светите

Link to post
Share on other sites
KaYot

KaYot 3,732

Posted
Posted

 

 

вы на сервак ходите ssh под рутом. кто вам буратино?

да ниче страшного под рутом нет, только ssh на весь мир не светите

 

 

Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо.
Link to post
Share on other sites
ttttt

ttttt 195

Posted
Posted

 

Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо.

Ага, знаю я таких людей, первым делом ставят sudo и всей "двойной" секьюрности как и не было.

Link to post
Share on other sites
wifi_master

wifi_master 132

Posted
  • Author
Posted

и что, не можете из крона удалить записи?

это же не винда с длл

кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино?

Все удалил, все уже ок. Систему пересобрал, глюки ушли.  

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 1
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...