wifi_master 132 Posted 2013-05-31 20:23:13 Share Posted 2013-05-31 20:23:13 Приветствую всех. Может кто сталкивался с такой траблой - началось с того что ломанули сервер какие то китайцы, зайти не удалось пароль сменили, восстановили пароль все вроде гуд, поработал неделю и тут понеслось, время от времени когда хочет, может вечером или ночью начинает грузить исходящий канал по максимуму! 140 тысяч пакетов в сек. Это все ловит ipcad и вешает нах проц сервера, тормоза жуткие. В процессах появился навесный процесс смотри скрин. Link to post Share on other sites
Hash.cv 0 Posted 2013-05-31 20:34:24 Share Posted 2013-05-31 20:34:24 Посмотрите все файлы, измененные за тот период, найдите то, что вам подсунули и удалите. Моглизаменить и системные процессы – надо внимательно промониторить все изменения всистеме. Link to post Share on other sites
martin 170 Posted 2013-05-31 20:36:05 Share Posted 2013-05-31 20:36:05 конфиги забекапь и переустанавливай сервак, так надежнее. Link to post Share on other sites
Hash.cv 0 Posted 2013-05-31 20:37:26 Share Posted 2013-05-31 20:37:26 конфиги забекапь и переустанавливай сервак, так надежнее. надежнее то надежнее, но не всегда есть возможность переустановить Link to post Share on other sites
LV10 282 Posted 2013-05-31 20:41:05 Share Posted 2013-05-31 20:41:05 ps -aux и проверить /tmp очерь вероятно - дырявый phpmyadmin Link to post Share on other sites
wifi_master 132 Posted 2013-05-31 21:15:12 Author Share Posted 2013-05-31 21:15:12 ps -aux и проверить /tmp очерь вероятно - дырявый phpmyadmin phpmyadmin нету, это шлюз. там кроме ната и ipcad, апача, collectd для рисования графиков ничего нету. Link to post Share on other sites
LV10 282 Posted 2013-05-31 21:53:01 Share Posted 2013-05-31 21:53:01 тогда брут sshd или эксплойты для указанного софта, надо поискать Link to post Share on other sites
muff 116 Posted 2013-05-31 22:12:57 Share Posted 2013-05-31 22:12:57 Попробуйте Lynis. Может он найдет проблему. Link to post Share on other sites
skyll 1 Posted 2013-05-31 22:31:55 Share Posted 2013-05-31 22:31:55 (edited) Первым делом удалите учетку "root" и переустановите сервак Самое первое правило в сетевой безопасности удалить учетку "root" Edited 2013-05-31 23:35:42 by skyll Link to post Share on other sites
skyll 1 Posted 2013-05-31 22:36:14 Share Posted 2013-05-31 22:36:14 к нам на БС китайцы постоянно на 22 порт ломилясь, закрыли порт 22 и атаки прекротились Link to post Share on other sites
Ромка 567 Posted 2013-05-31 23:15:46 Share Posted 2013-05-31 23:15:46 Первым делом удалите учетку "admin" и переустановите сервак Самое первое правило в сетевой безопасности удалить учетку "адми" Link to post Share on other sites
skyll 1 Posted 2013-05-31 23:37:50 Share Posted 2013-05-31 23:37:50 Сори запарился, всетики пятницо Первым делом удалите учетку "admin" и переустановите сервак Самое первое правило в сетевой безопасности удалить учетку "адми" Сори запарился, все тики сегодня вечер пятници, или утро субботы Link to post Share on other sites
exnetlife 126 Posted 2013-05-31 23:59:08 Share Posted 2013-05-31 23:59:08 Приветствую всех. Может кто сталкивался с такой траблой - началось с того что ломанули сервер какие то китайцы, зайти не удалось пароль сменили, восстановили пароль все вроде гуд, поработал неделю и тут понеслось, время от времени когда хочет, может вечером или ночью начинает грузить исходящий канал по максимуму! 140 тысяч пакетов в сек. Это все ловит ipcad и вешает нах проц сервера, тормоза жуткие. В процессах появился навесный процесс смотри скрин. Вам уже советовали переустановить все. Так вот вариант " не получается переустановить" не рассматривается после инцидентов безопасности. Проведите анализ логов, посмотрите как вас взломали а еще лучше когда (это поможет вам понять на сколько большая проблема и что взломщик мог получить). А дальше все удалить и установить с ноля. Других вариантов после взлома - нет. Link to post Share on other sites
kvirtu 315 Posted 2013-06-01 08:46:29 Share Posted 2013-06-01 08:46:29 (edited) к нам на БС китайцы постоянно на 22 порт ломилясь, закрыли порт 22 и атаки прекротились я меняю стандартный порт ssh , на какой нибудь 55008 ну и бекапы системных файлов и папок. Edited 2013-06-01 08:54:51 by kvirtu Link to post Share on other sites
ntil 57 Posted 2013-06-01 09:59:52 Share Posted 2013-06-01 09:59:52 сравните текущую систему с бэкапом. Link to post Share on other sites
pavlabor 1,977 Posted 2013-06-01 10:19:04 Share Posted 2013-06-01 10:19:04 Делаешь where is talk или which talk и смотришь где находится talk и что там налабали, а вообще, конечно лучше переставить систему, потому как дай мне на 5 минут доступ и раму там не соберешь. Link to post Share on other sites
Sargas 52 Posted 2013-06-01 10:44:50 Share Posted 2013-06-01 10:44:50 Сохраняете конфиги. Находите этот бинарник с помощью find / -type f -name "talk". Смотрите дату создания вот таким образом stat -x filename , смотреть поле Change, так как его не возможно подделать с помощью touch. Смотрите логи веб сервера/фтп за это время и находите как вас ломанули. Так же перемонтируйте раздел /tmp с noexec,nosuid чтобы в случае если вам таки что-то снова зальют и скомпилят в /tmp , то не смогли это запустить (после этого некоторые порты могут не собираться, можно для сборки порта сменить tmpdir скажем на env TMPDIR=/home/TRASH) Проверьте /etc/rc* - файлы, чтобы там в автозагрузке не стояло ничего лишнего. Делаете make -s installworld чтобы системные бинарники стали родными, на случай если какой-то бинарник был подменен, потом mergemaster -iUF и ребут. Link to post Share on other sites
wifi_master 132 Posted 2013-06-01 11:38:33 Author Share Posted 2013-06-01 11:38:33 Нашел я эту суку. поубивал все talk. оно начало теперь создавать процесс 1. Суть механизма такая дергает себя по крону маскируясь по систему, потом собирает себя в папке /etc/.kde файл update дальше этот файл стартует запускает процес run, а он уже talk. Вот кусок кода. Походу оно. Где что еще засрали хз. видимо нужно убивать сервер... linkport -1 nick a login root ircname king of kings. modes wGix cmdchar @ userfile 1 set BANMODES 6 tog CLOAK 1 set AAWAY 0 tog NOIDLE 1 channel #new server xx.inger.be 81 server xx.inger.be 1986 server xx.inger.be 6667 server xx.inger.be 5822 server x.catalinx.org 84 server x.catalinx.org 82 server x.catalinx.org 83 server x.catalinx.org 81 server x.catalinx.org 5822 server x.catalinx.org 5823 Link to post Share on other sites
Кеша 546 Posted 2013-06-01 18:36:40 Share Posted 2013-06-01 18:36:40 (edited) и что, не можете из крона удалить записи? это же не винда с длл кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино? Edited 2013-06-01 18:41:14 by deneeska Link to post Share on other sites
ttttt 195 Posted 2013-06-01 18:52:11 Share Posted 2013-06-01 18:52:11 вы на сервак ходите ssh под рутом. кто вам буратино? да ниче страшного под рутом нет, только ssh на весь мир не светите Link to post Share on other sites
KaYot 3,732 Posted 2013-06-01 18:57:34 Share Posted 2013-06-01 18:57:34 вы на сервак ходите ssh под рутом. кто вам буратино?да ниче страшного под рутом нет, только ssh на весь мир не светите Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо. Link to post Share on other sites
ttttt 195 Posted 2013-06-01 19:00:42 Share Posted 2013-06-01 19:00:42 Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо. Ага, знаю я таких людей, первым делом ставят sudo и всей "двойной" секьюрности как и не было. Link to post Share on other sites
wifi_master 132 Posted 2013-06-01 20:07:46 Author Share Posted 2013-06-01 20:07:46 и что, не можете из крона удалить записи? это же не винда с длл кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино? Все удалил, все уже ок. Систему пересобрал, глюки ушли. Link to post Share on other sites
Melanxolik 63 Posted 2013-06-01 20:14:58 Share Posted 2013-06-01 20:14:58 проверяй ssh демона файл. его сейчас часто подменяют на уже пробитый. Link to post Share on other sites
wifi_master 132 Posted 2013-06-01 20:20:40 Author Share Posted 2013-06-01 20:20:40 проверяй ssh демона файл. его сейчас часто подменяют на уже пробитый. Закрыл нехер от греха подальше ссх из мира. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now