LINUX.ORG.RU
ФорумAdmin

udp flood от апача


0

1

Веб-сервер сломали, теперь периодически (раз в час-два), запускается процесс apache2 и около минуты выдает такой мощный поток udp-флуда, что даже шелл отваливается. После окончания атаки все опять становится, как обычно: процесс убивается, никаких аномалий нет. Пароль от рута точно не взломан, т.к. недавно его поменяли и логин по шеллу закрыт. Если ограничить udp OUTPUT только на DNS, флудит по DNS. Атака выглядит вот так:
11:52:00.009621 IP myserver.ru.50604 > 50-46-163-34.evrt.wa.frontiernet.net.www: UDP, length 8192
11:52:00.009623 IP myserver.ru > 50-46-163-34.evrt.wa.frontiernet.net: udp
11:52:00.009624 IP myserver.ru > 50-46-163-34.evrt.wa.frontiernet.net: udp
11:52:00.009626 IP myserver.ru > 50-46-163-34.evrt.wa.frontiernet.net: udp
11:52:00.009627 IP myserver.ru > 50-46-163-34.evrt.wa.frontiernet.net: udp
11:52:00.009628 IP myserver.ru > 50-46-163-34.evrt.wa.frontiernet.net: udp

процесс, от которого идет флуд, по команде lsof -p <pid> выдает следующее:
apache2 18852 www-data mem REG 8,2 4552 7062331 /usr/lib/apache2/modules/mod_authz_user.so
apache2 18852 www-data mem REG 8,2 6344 7062343 /usr/lib/apache2/modules/mod_authz_host.so
apache2 18852 www-data mem REG 8,2 7052 7062326 /usr/lib/apache2/modules/mod_authz_groupfile.so
apache2 18852 www-data mem REG 8,2 3916 7062363 /usr/lib/apache2/modules/mod_authz_default.so
apache2 18852 www-data mem REG 8,2 5064 7062310 /usr/lib/apache2/modules/mod_authn_file.so
apache2 18852 www-data mem REG 8,2 5744 10649711 /lib/libkeyutils-1.2.so
apache2 18852 www-data mem REG 8,2 27876 6982544 /usr/lib/libkrb5support.so.0.1
apache2 18852 www-data mem REG 8,2 147392 6980407 /usr/lib/libk5crypto.so.3.1
apache2 18852 www-data mem REG 8,2 425220 6982172 /usr/lib/libgcrypt.so.11.4.4
apache2 18852 www-data mem REG 8,2 11556 6980760 /usr/lib/libgpg-error.so.0.3.0
apache2 18852 www-data mem REG 8,2 59708 6982170 /usr/lib/libtasn1.so.3.0.15
apache2 18852 www-data mem REG 8,2 81012 6980579 /usr/lib/libz.so.1.2.3.3
apache2 18852 www-data mem REG 8,2 149328 10649812 /lib/i686/cmov/libm-2.7.so
apache2 18852 www-data mem REG 8,2 87800 10649814 /lib/i686/cmov/libnsl-2.7.so
apache2 18852 www-data mem REG 8,2 169076 6980406 /usr/lib/libgssapi_krb5.so.2.2
apache2 18852 www-data mem REG 8,2 8676 10649768 /lib/libcom_err.so.2.1
apache2 18852 www-data mem REG 8,2 607284 6982542 /usr/lib/libkrb5.so.3.3
apache2 18852 www-data mem REG 8,2 1392124 6996329 /usr/lib/i686/cmov/libcrypto.so.0.9.8
apache2 18852 www-data mem REG 8,2 302032 6996332 /usr/lib/i686/cmov/libssl.so.0.9.8
apache2 18852 www-data mem REG 8,2 642912 6980576 /usr/lib/libgnutls.so.26.4.6
apache2 18852 www-data mem REG 8,2 91016 6982175 /usr/lib/libsasl2.so.2.0.22
apache2 18852 www-data mem REG 8,2 67408 10649839 /lib/i686/cmov/libresolv-2.7.so
apache2 18852 www-data mem REG 8,2 9680 10649811 /lib/i686/cmov/libdl-2.7.so
apache2 18852 www-data mem REG 8,2 38296 10649810 /lib/i686/cmov/libcrypt-2.7.so
apache2 18852 www-data mem REG 8,2 30624 10649845 /lib/i686/cmov/librt-2.7.so
apache2 18852 www-data mem REG 8,2 12912 10649712 /lib/libuuid.so.1.2
apache2 18852 www-data mem REG 8,2 151468 6980265 /usr/lib/libexpat.so.1.5.2
apache2 18852 www-data mem REG 8,2 449956 6982547 /usr/lib/libsqlite3.so.0.8.6
apache2 18852 www-data mem REG 8,2 2004028 6980606 /usr/lib/libmysqlclient_r.so.15.0.0
apache2 18852 www-data mem REG 8,2 127724 6980010 /usr/lib/libpq.so.5.1
apache2 18852 www-data mem REG 8,2 1256548 6980507 /usr/lib/libdb-4.6.so
apache2 18852 www-data mem REG 8,2 51228 6981150 /usr/lib/liblber-2.4.so.2.1.0
apache2 18852 www-data mem REG 8,2 265124 6981151 /usr/lib/libldap_r-2.4.so.2.1.0
apache2 18852 www-data mem REG 8,2 1413540 10649807 /lib/i686/cmov/libc-2.7.so
apache2 18852 www-data mem REG 8,2 116414 10649833 /lib/i686/cmov/libpthread-2.7.so
apache2 18852 www-data mem REG 8,2 170596 6983106 /usr/lib/libapr-1.so.0.2.12
apache2 18852 www-data mem REG 8,2 121404 6983127 /usr/lib/libaprutil-1.so.0.2.12
apache2 18852 www-data mem REG 8,2 162088 12009477 /usr/lib/libpcre.so.3.12.1
apache2 18852 www-data mem REG 8,2 6376 7062314 /usr/lib/apache2/modules/mod_auth_basic.so
apache2 18852 www-data mem REG 8,2 10180 7062309 /usr/lib/apache2/modules/mod_alias.so
apache2 18852 www-data mem REG 8,2 113248 10649602 /lib/ld-2.7.so
apache2 18852 www-data 0r CHR 1,3 566 /dev/null
apache2 18852 www-data 1w CHR 1,3 566 /dev/null
apache2 18852 www-data 2w REG 8,2 41744 10125382 /var/log/apache2/error.log
apache2 18852 www-data 3u IPv6 133766105 TCP *:www (LISTEN)
apache2 18852 www-data 4u sock 0,4 133766106 can't identify protocol
apache2 18852 www-data 5r FIFO 0,6 133766137 pipe
apache2 18852 www-data 6w FIFO 0,6 133766137 pipe
apache2 18852 www-data 7w FIFO 0,6 133708671 pipe
apache2 18852 www-data 8w REG 8,2 13476 10241194 /var/www/site1/logs/error.log
apache2 18852 www-data 9w REG 8,2 1036639 13271048 /var/www/site2/logs/error.log.1
apache2 18852 www-data 10w REG 8,2 8283448 10391126 /var/www/site3/logs/error.log
apache2 18852 www-data 11w REG 8,2 4044 11124737 /var/www/site4/logs/error.log.1
apache2 18852 www-data 12w REG 8,2 2580 10272777 /var/www/site5/logs/error.log.1
apache2 18852 www-data 13w REG 8,2 6061 10191087 /var/www/site6/logs/error.log.1
apache2 18852 www-data 14w REG 8,2 1517706 10338308 /var/www/site7/logs/error.log.1 (deleted)
apache2 18852 www-data 15w REG 8,2 0 10125348 /var/log/apache2/other_vhosts_access.log
apache2 18852 www-data 16w REG 8,2 86323 10241196 /var/www/site1/logs/access.log
apache2 18852 www-data 17w REG 8,2 3183751 13271045 /var/www/site2/logs/access.log.1
apache2 18852 www-data 18w REG 8,2 3183751 13271045 /var/www/site3/logs/access.log.1
apache2 18852 www-data 19w REG 8,2 126007216 10391127 /var/www/site4/logs/access.log
apache2 18852 www-data 20w REG 8,2 151418 11124746 /var/www/site5/logs/access.log.1
apache2 18852 www-data 21w REG 8,2 354457 10272776 /var/www/site6/logs/access.log.1
apache2 18852 www-data 22w REG 8,2 3636382 10191076 /var/www/site7/logs/access.log.1
apache2 18852 www-data 23w REG 8,2 23599198 10338835 /var/www/site8/logs/access.log.1 (deleted)
apache2 18852 www-data 24w REG 8,2 216 10125442 /var/log/apache2/mod_jk.log
apache2 18852 www-data 25u REG 8,2 28800 10125650 /var/log/apache2/jk-runtime-status.7261
apache2 18852 www-data 26u REG 8,2 1 10125660 /var/log/apache2/jk-runtime-status.7261.lock
apache2 18852 www-data 27u REG 8,2 0 18038999 /tmp/ZCUD6CBrsZ (deleted)
apache2 18852 www-data 28u 0000 0,7 0 13 anon_inode

в кронтабе, понятно, ничего нет. Как понять, что инициализирует этот процесс? Спасибо!

Больше одного etherip-туннеля на одних и тех же устройствах
проблемка с zsh на fedora14

Ответ на: комментарий от Komintern

спасибо за ответ, но я не понимаю - что значит «посмотреть сервер-статус по пиду»? Какой командой это сделать и что сделать с полученными данными?

Mary_Jane
() автор топика
Ответ на: комментарий от Komintern

спасибо, выловлю и отпишусь по результатам.

Mary_Jane
() автор топика

>Веб-сервер сломали

php/perl/python в качестве модулей для апача/cgi стоят? какие-нибудь сайты, которые хостятся на этом сервере их используют?

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

ерунда какая-то пока, вылавливаются совершенно разные безобидные скрипты на разных сайтах. Т.е. сначала я вижу, на какой адрес начался флуд, потом снимаю дамп lsof -i | grep UDP нахожу PID по адресу атаки по PID процесса смотрю в server-status, а там какая-нибудь капча.

Mary_Jane
() автор топика
Ответ на: комментарий от Mary_Jane

Нашел скрипт. Правда вся эта система логов не помогла. Стал вручную прочесывать acces.log'и на всех сайтах за несколько минут до флуда и хуизить каждый адрес. Вскоре мне повезло, нашел среди российских и поисковых ip какой-то непонятный из США. Промотал вправо, и, о чудо, там открытым текстом идет передача параметра floodtype. Я чуть со стула не упал. Скрипт убрали, пароли сменили. Посмотрим, будет ли что-то еще.

Mary_Jane
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Больше одного etherip-туннеля на одних и тех же устройствах
Admin
проблемка с zsh на fedora14