LINUX.ORG.RU
ФорумAdmin

Что за чёрт?


0

0
PID   USERNAME         THR PRI NICE   SIZE  RES   STATE    TIME   WCPU COMMAND
68190 www                1  -8    0  1872K  1428K biord    0:07  1.71% find

Удивительно. Что происходит? Обычно стартует непонятный процесс перла (так же с UID www), который отжирает процессор и, судя по всему, ддосит разные личности, но к нему я уже привык, а это что-то новое :).

Уже говорил про этот сервер. Перешёл ко мне от криворучки-алкаша. Первым делом поудалял всякую фигню в /tmp (наборы юных скрипт кидди) и поставил на него noexec и nosuid. Перенёс ssh на высокий порт. Вырубил ftp, вместо него теперь sftp.

Сегодня договариваемя об аренде сервера у немцев, туда я всё поэтапно и перенесу (как уже говорил, там будут виртуалки с апачами, виртуалка с nginx, виртуалка с exim, виртуалка с dovecot, виртуалка с mysql). А пока просто интересно, что за чертовщина происходит на старом.

В /var/log/auth.log ничего подозрительного нет. В кротабах (и логе крона) тоже. Этот непонятный find проработал около 5 минут.

★★★★★

Ответ на: комментарий от lodin

И кстати, что-то типа

strace -f -e trace=open -p NNNN

тоже забавные данные может выдать. Хотя это, конечно, всё кустарщина, но если из любопытства, то почему бы и нет.

lodin ★★★★
()
Ответ на: комментарий от lodin

Здорово, надо бы поконкретнее POSIX изучить уже. А то я всё умал, как же узнать, какой же скрипт исполняется перлом (тот, который ддосит).

Obey-Kun ★★★★★
() автор топика
Ответ на: комментарий от Obey-Kun

> Шифруются, сволочи. Как вычислить, откуда оно?

может упаковано где.. попробуй через grep все файлы прогнать.

isden ★★★★★
()
Ответ на: комментарий от xpahos

Я и так понимаю, что это, скорее всего руткит. Избавляться от него я не собираюсь, но хочется, например, воспользоваться им. Или узнать его тип.

Obey-Kun ★★★★★
() автор топика
PID   USERNAME         THR PRI NICE   SIZE  RES   STATE    TIME   WCPU COMMAND
68190 www                1  -8    0  1872K  1428K biord    0:07  1.71% find

Может быть ротатор логов или индексатор файлов хоста/web-сервера какой-нибудь. У меня тоже в системе периодически шевыряется find.

iZEN ★★★★★
()
Ответ на: комментарий от Obey-Kun

Я бы на твоём месте сделал:

% rm -rf /usr/local
Заменил /etc/rc.conf своим. И перезагрузил систему. после этого ничего не должно шевелится, кроме системы. Если что-то есть, то видимо сама система скомпрометирована — нужно смотреть процессы/пользователи, которые пытаются что-то делать.

«noexec» на /tmp — полумера, ничего не даёт, кроме головной боли по обновлению портов.

iZEN ★★★★★
()
Ответ на: комментарий от lodin

А и правда ведь

pgrep -u www | sed 's/^/-p/' | xargs strace -f -e trace=process 2>trace.log

Даст всю инфу по fork, exec и всему что с сигналами связано для юзера www. Правда, trace.log получится дюже здоровый.

lodin ★★★★
()
Ответ на: комментарий от iZEN

Я и так почти уверен, что система скомпрометирована :). Хотелось бы знать, как именно. Причём чтобы не пришлось делать кардинальных движений вроде этого. Пользователей завтра-послезавтра на новый сервер переносить начну всё равно.

Obey-Kun ★★★★★
() автор топика

rkhunter - поставь. и сделай nmap . попробуй в режим single(в разных дистрах по-разному в rhel - 2 уровень исполнения) правда нужен будет физический доступ к серваку ибо без сети уровень исполнения.

pinachet ★★★★★
()
Ответ на: комментарий от pinachet

Последнее не прокатит. У них KVM-over-IP платный, не то что у будущего хостера. Плалить за любопытство неохота :). Первые два попробую.

Obey-Kun ★★★★★
() автор топика
Ответ на: комментарий от iZEN

«noexec» на /tmp — полумера, ничего не даёт, кроме головной боли по обновлению портов.

Ясно. Посоветуешь что-нибудь почитать базовое про секьюрити? Ну вот что стоит делать на машинке (виртуалка openvz), на которой из сетевых демонов только апач+mod_php (на один сайт, т.е. без виртуального хостинга) и sshd?

Obey-Kun ★★★★★
() автор топика
Ответ на: комментарий от pinachet

>попробуй в режим single(в разных дистрах по-разному в rhel - 2 уровень исполнения)

Хм. А я думал, что это многопользовательский, но без графики и NFS.

Комменты inittab какбэ намекают:
>1 - Single user mode

>2 - Multiuser, without NFS (The same as 3, if you do not have networking)


И в RH, и в дебе single это 1.

Ну а вообще я обычно просто добавляю к параметрам ядра единичку через grub :)

nnz ★★★★
()

Выдерка из rkhunter -c:

  Performing file properties checks
    Checking for prerequisites                               [ Warning ]
  Performing check for backdoor ports
    Checking for TCP port 2128                               [ Warning ]
  Performing filesystem checks
    Checking for hidden files and directories                [ Warning ]
Не понимаю, что есть первое и чем опасно последнее (где он проверял вообще).

Насчёт бэкдора ясно :). sockstat -4 | grep 2128 ничего не выдаёт, как и netstat -an | grep 2128, что неудивительно для руткита. Как дальше его вычислять?

Obey-Kun ★★★★★
() автор топика
Ответ на: комментарий от Obey-Kun

лог посмотри rkhunter . он немного параноидален )

pinachet ★★★★★
()
Ответ на: комментарий от Obey-Kun

1. см. /var/log/rkhunter.log
2. см. порт 2128 на всех своих айпишниках через nmap (некоторые руткиты прячут свои сокеты от всяких статов).

nnz ★★★★
()
Ответ на: комментарий от iZEN

«noexec» на /tmp — полумера, ничего не даёт, кроме головной боли по обновлению портов.

Так что, не посоветуешь мер по безопасности, помимо noexec/nosuid на /tmp и /home?

Obey-Kun ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.