Jump to content

Хелп! Ломанули сервер!


Recommended Posts

Приветствую всех.

 

   Может кто сталкивался с такой траблой - началось с того что ломанули сервер какие то китайцы, зайти не удалось пароль сменили, восстановили пароль все вроде гуд, поработал неделю и тут понеслось, время от времени когда хочет, может вечером или ночью начинает грузить исходящий канал по максимуму! 140 тысяч пакетов в сек. Это все ловит ipcad и вешает нах проц сервера, тормоза жуткие. В процессах появился навесный процесс смотри скрин.  

 

 

 

post-6450-0-17767900-1370031774_thumb.jpg

Link to post
Share on other sites
  • Replies 72
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

и что, не можете из крона удалить записи? это же не винда с длл кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино?

Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо.

Вообще по феншую делать так: - меняете порт ssh, лучьше за 30000, туда сканерами при массовом сборе дырявых серваков обычно не ходят, ну конечно если не хотят поломать конкретно вас - делаете персона

Posted Images

Посмотрите все файлы, измененные за тот период, найдите то, что вам подсунули и удалите. Могли
заменить и системные процессы – надо внимательно промониторить все изменения в
системе. 

Link to post
Share on other sites

конфиги забекапь и переустанавливай сервак, так надежнее.

надежнее то надежнее, но не всегда есть возможность переустановить

Link to post
Share on other sites

ps -aux

 

и проверить /tmp

 

очерь вероятно - дырявый phpmyadmin

phpmyadmin нету, это шлюз. там кроме ната и ipcad, апача, collectd для  рисования графиков ничего нету. 

Link to post
Share on other sites

Первым делом удалите учетку "root" и переустановите сервак

Самое первое правило в сетевой безопасности удалить учетку "root" 

Edited by skyll
Link to post
Share on other sites

Первым делом удалите учетку "admin" и переустановите сервак

Самое первое правило в сетевой безопасности удалить учетку "адми" 

:facepalm:

Link to post
Share on other sites

Сори запарился, всетики пятницо 

 

 

Первым делом удалите учетку "admin" и переустановите сервак

Самое первое правило в сетевой безопасности удалить учетку "адми" 

:facepalm:

Сори запарился, все тики сегодня вечер пятници, или утро субботы 

Link to post
Share on other sites

Приветствую всех.

 

   Может кто сталкивался с такой траблой - началось с того что ломанули сервер какие то китайцы, зайти не удалось пароль сменили, восстановили пароль все вроде гуд, поработал неделю и тут понеслось, время от времени когда хочет, может вечером или ночью начинает грузить исходящий канал по максимуму! 140 тысяч пакетов в сек. Это все ловит ipcad и вешает нах проц сервера, тормоза жуткие. В процессах появился навесный процесс смотри скрин.  

 

Вам уже советовали переустановить все. Так вот вариант " не получается переустановить" не рассматривается после инцидентов безопасности. Проведите анализ логов, посмотрите как вас взломали а еще лучше когда (это поможет вам понять на сколько большая проблема и что взломщик мог получить). А дальше все удалить и установить с ноля. Других вариантов после взлома - нет. 

Link to post
Share on other sites

к нам на БС китайцы постоянно на 22 порт ломилясь, закрыли порт 22 и атаки прекротились

я меняю стандартный порт ssh , на какой нибудь 55008 ну и бекапы системных файлов и папок.

Edited by kvirtu
Link to post
Share on other sites

Делаешь

where is talk

или

which talk

 

и смотришь где находится talk и что там налабали,

а вообще, конечно лучше переставить систему, потому как дай мне на 5 минут доступ и раму там не соберешь.

Link to post
Share on other sites

Сохраняете конфиги.

Находите этот бинарник с помощью find / -type f -name "talk". Смотрите дату создания вот таким образом stat -x filename , смотреть поле Change, так как его не возможно подделать с помощью touch. Смотрите логи веб сервера/фтп за это время и находите как вас ломанули.

 

Так же перемонтируйте раздел /tmp с noexec,nosuid чтобы в случае если вам таки что-то снова зальют и скомпилят в /tmp , то не смогли это запустить (после этого некоторые порты могут не собираться, можно для сборки порта сменить tmpdir скажем на env TMPDIR=/home/TRASH)

 

Проверьте /etc/rc* - файлы, чтобы там в автозагрузке не стояло ничего лишнего.

Делаете make -s installworld чтобы системные бинарники стали родными, на случай если какой-то бинарник был подменен, потом mergemaster -iUF и ребут.

Link to post
Share on other sites

Нашел я эту суку. поубивал все talk. оно начало теперь создавать процесс 1. Суть механизма такая дергает себя по крону маскируясь по систему, потом собирает себя в папке /etc/.kde файл update дальше этот файл стартует запускает процес run, а он уже talk. 

Вот кусок кода. Походу оно. Где что еще засрали хз. видимо нужно убивать сервер...

 

 

linkport -1
 
nick a
login root
ircname king of kings.
modes wGix
cmdchar @
userfile 1
 
set BANMODES 6
tog CLOAK 1
set AAWAY 0
tog NOIDLE 1
channel #new
 
server xx.inger.be 81
server xx.inger.be 1986
server xx.inger.be 6667
server xx.inger.be 5822
server x.catalinx.org 84
server x.catalinx.org 82
server x.catalinx.org 83
server x.catalinx.org 81
server x.catalinx.org 5822
server x.catalinx.org 5823
Link to post
Share on other sites

и что, не можете из крона удалить записи?

это же не винда с длл

кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино?

Edited by deneeska
Link to post
Share on other sites

 

вы на сервак ходите ssh под рутом. кто вам буратино?

да ниче страшного под рутом нет, только ssh на весь мир не светите

Link to post
Share on other sites

 

 

вы на сервак ходите ssh под рутом. кто вам буратино?

да ниче страшного под рутом нет, только ssh на весь мир не светите

 

 

Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо.
Link to post
Share on other sites

 

Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо.

Ага, знаю я таких людей, первым делом ставят sudo и всей "двойной" секьюрности как и не было.

Link to post
Share on other sites

и что, не можете из крона удалить записи?

это же не винда с длл

кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино?

Все удалил, все уже ок. Систему пересобрал, глюки ушли.  

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...