wifi_master 132 Опубликовано: 2013-05-31 20:23:13 Share Опубликовано: 2013-05-31 20:23:13 Приветствую всех. Может кто сталкивался с такой траблой - началось с того что ломанули сервер какие то китайцы, зайти не удалось пароль сменили, восстановили пароль все вроде гуд, поработал неделю и тут понеслось, время от времени когда хочет, может вечером или ночью начинает грузить исходящий канал по максимуму! 140 тысяч пакетов в сек. Это все ловит ipcad и вешает нах проц сервера, тормоза жуткие. В процессах появился навесный процесс смотри скрин. Ссылка на сообщение Поделиться на других сайтах
Hash.cv 0 Опубликовано: 2013-05-31 20:34:24 Share Опубликовано: 2013-05-31 20:34:24 Посмотрите все файлы, измененные за тот период, найдите то, что вам подсунули и удалите. Моглизаменить и системные процессы – надо внимательно промониторить все изменения всистеме. Ссылка на сообщение Поделиться на других сайтах
martin 170 Опубликовано: 2013-05-31 20:36:05 Share Опубликовано: 2013-05-31 20:36:05 конфиги забекапь и переустанавливай сервак, так надежнее. Ссылка на сообщение Поделиться на других сайтах
Hash.cv 0 Опубликовано: 2013-05-31 20:37:26 Share Опубликовано: 2013-05-31 20:37:26 конфиги забекапь и переустанавливай сервак, так надежнее. надежнее то надежнее, но не всегда есть возможность переустановить Ссылка на сообщение Поделиться на других сайтах
LV10 282 Опубликовано: 2013-05-31 20:41:05 Share Опубликовано: 2013-05-31 20:41:05 ps -aux и проверить /tmp очерь вероятно - дырявый phpmyadmin Ссылка на сообщение Поделиться на других сайтах
wifi_master 132 Опубликовано: 2013-05-31 21:15:12 Автор Share Опубликовано: 2013-05-31 21:15:12 ps -aux и проверить /tmp очерь вероятно - дырявый phpmyadmin phpmyadmin нету, это шлюз. там кроме ната и ipcad, апача, collectd для рисования графиков ничего нету. Ссылка на сообщение Поделиться на других сайтах
LV10 282 Опубликовано: 2013-05-31 21:53:01 Share Опубликовано: 2013-05-31 21:53:01 тогда брут sshd или эксплойты для указанного софта, надо поискать Ссылка на сообщение Поделиться на других сайтах
muff 116 Опубликовано: 2013-05-31 22:12:57 Share Опубликовано: 2013-05-31 22:12:57 Попробуйте Lynis. Может он найдет проблему. Ссылка на сообщение Поделиться на других сайтах
skyll 1 Опубликовано: 2013-05-31 22:31:55 Share Опубликовано: 2013-05-31 22:31:55 (изменено) Первым делом удалите учетку "root" и переустановите сервак Самое первое правило в сетевой безопасности удалить учетку "root" Изменено 2013-05-31 23:35:42 пользователем skyll Ссылка на сообщение Поделиться на других сайтах
skyll 1 Опубликовано: 2013-05-31 22:36:14 Share Опубликовано: 2013-05-31 22:36:14 к нам на БС китайцы постоянно на 22 порт ломилясь, закрыли порт 22 и атаки прекротились Ссылка на сообщение Поделиться на других сайтах
Ромка 567 Опубликовано: 2013-05-31 23:15:46 Share Опубликовано: 2013-05-31 23:15:46 Первым делом удалите учетку "admin" и переустановите сервак Самое первое правило в сетевой безопасности удалить учетку "адми" Ссылка на сообщение Поделиться на других сайтах
skyll 1 Опубликовано: 2013-05-31 23:37:50 Share Опубликовано: 2013-05-31 23:37:50 Сори запарился, всетики пятницо Первым делом удалите учетку "admin" и переустановите сервак Самое первое правило в сетевой безопасности удалить учетку "адми" Сори запарился, все тики сегодня вечер пятници, или утро субботы Ссылка на сообщение Поделиться на других сайтах
exnetlife 126 Опубликовано: 2013-05-31 23:59:08 Share Опубликовано: 2013-05-31 23:59:08 Приветствую всех. Может кто сталкивался с такой траблой - началось с того что ломанули сервер какие то китайцы, зайти не удалось пароль сменили, восстановили пароль все вроде гуд, поработал неделю и тут понеслось, время от времени когда хочет, может вечером или ночью начинает грузить исходящий канал по максимуму! 140 тысяч пакетов в сек. Это все ловит ipcad и вешает нах проц сервера, тормоза жуткие. В процессах появился навесный процесс смотри скрин. Вам уже советовали переустановить все. Так вот вариант " не получается переустановить" не рассматривается после инцидентов безопасности. Проведите анализ логов, посмотрите как вас взломали а еще лучше когда (это поможет вам понять на сколько большая проблема и что взломщик мог получить). А дальше все удалить и установить с ноля. Других вариантов после взлома - нет. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубликовано: 2013-06-01 08:46:29 Share Опубликовано: 2013-06-01 08:46:29 (изменено) к нам на БС китайцы постоянно на 22 порт ломилясь, закрыли порт 22 и атаки прекротились я меняю стандартный порт ssh , на какой нибудь 55008 ну и бекапы системных файлов и папок. Изменено 2013-06-01 08:54:51 пользователем kvirtu Ссылка на сообщение Поделиться на других сайтах
ntil 57 Опубликовано: 2013-06-01 09:59:52 Share Опубликовано: 2013-06-01 09:59:52 сравните текущую систему с бэкапом. Ссылка на сообщение Поделиться на других сайтах
pavlabor 1 977 Опубликовано: 2013-06-01 10:19:04 Share Опубликовано: 2013-06-01 10:19:04 Делаешь where is talk или which talk и смотришь где находится talk и что там налабали, а вообще, конечно лучше переставить систему, потому как дай мне на 5 минут доступ и раму там не соберешь. Ссылка на сообщение Поделиться на других сайтах
Sargas 52 Опубликовано: 2013-06-01 10:44:50 Share Опубликовано: 2013-06-01 10:44:50 Сохраняете конфиги. Находите этот бинарник с помощью find / -type f -name "talk". Смотрите дату создания вот таким образом stat -x filename , смотреть поле Change, так как его не возможно подделать с помощью touch. Смотрите логи веб сервера/фтп за это время и находите как вас ломанули. Так же перемонтируйте раздел /tmp с noexec,nosuid чтобы в случае если вам таки что-то снова зальют и скомпилят в /tmp , то не смогли это запустить (после этого некоторые порты могут не собираться, можно для сборки порта сменить tmpdir скажем на env TMPDIR=/home/TRASH) Проверьте /etc/rc* - файлы, чтобы там в автозагрузке не стояло ничего лишнего. Делаете make -s installworld чтобы системные бинарники стали родными, на случай если какой-то бинарник был подменен, потом mergemaster -iUF и ребут. Ссылка на сообщение Поделиться на других сайтах
wifi_master 132 Опубликовано: 2013-06-01 11:38:33 Автор Share Опубликовано: 2013-06-01 11:38:33 Нашел я эту суку. поубивал все talk. оно начало теперь создавать процесс 1. Суть механизма такая дергает себя по крону маскируясь по систему, потом собирает себя в папке /etc/.kde файл update дальше этот файл стартует запускает процес run, а он уже talk. Вот кусок кода. Походу оно. Где что еще засрали хз. видимо нужно убивать сервер... linkport -1 nick a login root ircname king of kings. modes wGix cmdchar @ userfile 1 set BANMODES 6 tog CLOAK 1 set AAWAY 0 tog NOIDLE 1 channel #new server xx.inger.be 81 server xx.inger.be 1986 server xx.inger.be 6667 server xx.inger.be 5822 server x.catalinx.org 84 server x.catalinx.org 82 server x.catalinx.org 83 server x.catalinx.org 81 server x.catalinx.org 5822 server x.catalinx.org 5823 Ссылка на сообщение Поделиться на других сайтах
Кеша 546 Опубликовано: 2013-06-01 18:36:40 Share Опубликовано: 2013-06-01 18:36:40 (изменено) и что, не можете из крона удалить записи? это же не винда с длл кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино? Изменено 2013-06-01 18:41:14 пользователем deneeska Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубликовано: 2013-06-01 18:52:11 Share Опубликовано: 2013-06-01 18:52:11 вы на сервак ходите ssh под рутом. кто вам буратино? да ниче страшного под рутом нет, только ssh на весь мир не светите Ссылка на сообщение Поделиться на других сайтах
KaYot 3 732 Опубликовано: 2013-06-01 18:57:34 Share Опубликовано: 2013-06-01 18:57:34 вы на сервак ходите ssh под рутом. кто вам буратино?да ниче страшного под рутом нет, только ssh на весь мир не светите Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо. Ссылка на сообщение Поделиться на других сайтах
ttttt 195 Опубликовано: 2013-06-01 19:00:42 Share Опубликовано: 2013-06-01 19:00:42 Нормальные люди прямой доступ руту запрещают, двойная секурность это хорошо. Ага, знаю я таких людей, первым делом ставят sudo и всей "двойной" секьюрности как и не было. Ссылка на сообщение Поделиться на других сайтах
wifi_master 132 Опубликовано: 2013-06-01 20:07:46 Автор Share Опубликовано: 2013-06-01 20:07:46 и что, не можете из крона удалить записи? это же не винда с длл кроме, того судя по четвертой строке, вы на сервак ходите ssh под рутом. кто вам буратино? Все удалил, все уже ок. Систему пересобрал, глюки ушли. Ссылка на сообщение Поделиться на других сайтах
Melanxolik 63 Опубликовано: 2013-06-01 20:14:58 Share Опубликовано: 2013-06-01 20:14:58 проверяй ssh демона файл. его сейчас часто подменяют на уже пробитый. Ссылка на сообщение Поделиться на других сайтах
wifi_master 132 Опубликовано: 2013-06-01 20:20:40 Автор Share Опубликовано: 2013-06-01 20:20:40 проверяй ssh демона файл. его сейчас часто подменяют на уже пробитый. Закрыл нехер от греха подальше ссх из мира. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас