Перейти до

Хелп! Ломанули сервер!


Рекомендованные сообщения

Приветствую всех.

 

   Может кто сталкивался с такой траблой - началось с того что ломанули сервер какие то китайцы, зайти не удалось пароль сменили, восстановили пароль все вроде гуд, поработал неделю и тут понеслось, время от времени когда хочет, может вечером или ночью начинает грузить исходящий канал по максимуму! 140 тысяч пакетов в сек. Это все ловит ipcad и вешает нах проц сервера, тормоза жуткие. В процессах появился навесный процесс смотри скрин.  

 

 

 

post-6450-0-17767900-1370031774_thumb.jpg

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 72
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

и что, не можете из крона удалить записи? это же не винда с длл кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино?

Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо.

Вообще по феншую делать так: - меняете порт ssh, лучьше за 30000, туда сканерами при массовом сборе дырявых серваков обычно не ходят, ну конечно если не хотят поломать конкретно вас - делаете персона

Posted Images

Посмотрите все файлы, измененные за тот период, найдите то, что вам подсунули и удалите. Могли
заменить и системные процессы – надо внимательно промониторить все изменения в
системе. 

Ссылка на сообщение
Поделиться на других сайтах

ps -aux

 

и проверить /tmp

 

очерь вероятно - дырявый phpmyadmin

phpmyadmin нету, это шлюз. там кроме ната и ipcad, апача, collectd для  рисования графиков ничего нету. 

Ссылка на сообщение
Поделиться на других сайтах

Первым делом удалите учетку "root" и переустановите сервак

Самое первое правило в сетевой безопасности удалить учетку "root" 

Відредаговано skyll
Ссылка на сообщение
Поделиться на других сайтах

Первым делом удалите учетку "admin" и переустановите сервак

Самое первое правило в сетевой безопасности удалить учетку "адми" 

:facepalm:

Ссылка на сообщение
Поделиться на других сайтах

Сори запарился, всетики пятницо 

 

 

Первым делом удалите учетку "admin" и переустановите сервак

Самое первое правило в сетевой безопасности удалить учетку "адми" 

:facepalm:

Сори запарился, все тики сегодня вечер пятници, или утро субботы 

Ссылка на сообщение
Поделиться на других сайтах

Приветствую всех.

 

   Может кто сталкивался с такой траблой - началось с того что ломанули сервер какие то китайцы, зайти не удалось пароль сменили, восстановили пароль все вроде гуд, поработал неделю и тут понеслось, время от времени когда хочет, может вечером или ночью начинает грузить исходящий канал по максимуму! 140 тысяч пакетов в сек. Это все ловит ipcad и вешает нах проц сервера, тормоза жуткие. В процессах появился навесный процесс смотри скрин.  

 

Вам уже советовали переустановить все. Так вот вариант " не получается переустановить" не рассматривается после инцидентов безопасности. Проведите анализ логов, посмотрите как вас взломали а еще лучше когда (это поможет вам понять на сколько большая проблема и что взломщик мог получить). А дальше все удалить и установить с ноля. Других вариантов после взлома - нет. 

Ссылка на сообщение
Поделиться на других сайтах

к нам на БС китайцы постоянно на 22 порт ломилясь, закрыли порт 22 и атаки прекротились

я меняю стандартный порт ssh , на какой нибудь 55008 ну и бекапы системных файлов и папок.

Відредаговано kvirtu
Ссылка на сообщение
Поделиться на других сайтах

Делаешь

where is talk

или

which talk

 

и смотришь где находится talk и что там налабали,

а вообще, конечно лучше переставить систему, потому как дай мне на 5 минут доступ и раму там не соберешь.

Ссылка на сообщение
Поделиться на других сайтах

Сохраняете конфиги.

Находите этот бинарник с помощью find / -type f -name "talk". Смотрите дату создания вот таким образом stat -x filename , смотреть поле Change, так как его не возможно подделать с помощью touch. Смотрите логи веб сервера/фтп за это время и находите как вас ломанули.

 

Так же перемонтируйте раздел /tmp с noexec,nosuid чтобы в случае если вам таки что-то снова зальют и скомпилят в /tmp , то не смогли это запустить (после этого некоторые порты могут не собираться, можно для сборки порта сменить tmpdir скажем на env TMPDIR=/home/TRASH)

 

Проверьте /etc/rc* - файлы, чтобы там в автозагрузке не стояло ничего лишнего.

Делаете make -s installworld чтобы системные бинарники стали родными, на случай если какой-то бинарник был подменен, потом mergemaster -iUF и ребут.

Ссылка на сообщение
Поделиться на других сайтах

Нашел я эту суку. поубивал все talk. оно начало теперь создавать процесс 1. Суть механизма такая дергает себя по крону маскируясь по систему, потом собирает себя в папке /etc/.kde файл update дальше этот файл стартует запускает процес run, а он уже talk. 

Вот кусок кода. Походу оно. Где что еще засрали хз. видимо нужно убивать сервер...

 

 

linkport -1
 
nick a
login root
ircname king of kings.
modes wGix
cmdchar @
userfile 1
 
set BANMODES 6
tog CLOAK 1
set AAWAY 0
tog NOIDLE 1
channel #new
 
server xx.inger.be 81
server xx.inger.be 1986
server xx.inger.be 6667
server xx.inger.be 5822
server x.catalinx.org 84
server x.catalinx.org 82
server x.catalinx.org 83
server x.catalinx.org 81
server x.catalinx.org 5822
server x.catalinx.org 5823
Ссылка на сообщение
Поделиться на других сайтах

и что, не можете из крона удалить записи?

это же не винда с длл

кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино?

Відредаговано deneeska
Ссылка на сообщение
Поделиться на других сайтах

 

 

вы на сервак ходите ssh под рутом. кто вам буратино?

да ниче страшного под рутом нет, только ssh на весь мир не светите

 

 

Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо.
Ссылка на сообщение
Поделиться на других сайтах

 

Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо.

Ага, знаю я таких людей, первым делом ставят sudo и всей "двойной" секьюрности как и не было.

Ссылка на сообщение
Поделиться на других сайтах

и что, не можете из крона удалить записи?

это же не винда с длл

кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино?

Все удалил, все уже ок. Систему пересобрал, глюки ушли.  

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...