LINUX.ORG.RU
ФорумAdmin

SSHD и панамские боты

 ,


1

8

Всем привет. Мои странности выглядят следующим образом: в какой-то момент на серваке с FreeBSD 9.1-RELEASE перестает отвечать sshd. Вот так: 

$ ssh -v srv
OpenSSH_6.1p1, OpenSSL 1.0.1e 11 Feb 2013
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to srv [192.168.0.5] port 22.
debug1: Connection established.
debug1: identity file /home/komintern/.ssh/id_rsa type -1
debug1: identity file /home/komintern/.ssh/id_rsa-cert type -1
debug1: identity file /home/komintern/.ssh/id_dsa type -1
debug1: identity file /home/komintern/.ssh/id_dsa-cert type -1
debug1: identity file /home/komintern/.ssh/id_ecdsa type -1
debug1: identity file /home/komintern/.ssh/id_ecdsa-cert type -1
Дальше замирает и висит. Начал анализировать что же делает sshd. Выявил интересную картину, итак:
lsof -p по парент-процессу sshd: 
sshd    940 root    3u  IPv4 0xfffffe0198bbc3d0      0t0    TCP *:ssh (LISTEN)
sshd    940 root    4u  IPv4 0xfffffe02f182fb70      0t0    TCP srv:64810->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root    5u  IPv4 0xfffffe04c1eedb70      0t0    TCP srv:50593->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root    6u  IPv4 0xfffffe06530077a0      0t0    TCP srv:61666->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root    7u  IPv4 0xfffffe01c9e517a0      0t0    TCP srv:12042->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root    8u  IPv4 0xfffffe042c7e9b70      0t0    TCP srv:31370->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root    9u  IPv4 0xfffffe0381fc63d0      0t0    TCP srv:64563->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   10u  IPv4 0xfffffe03f92bb3d0      0t0    TCP srv:64565->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   11u  IPv4 0xfffffe07effba3d0      0t0    TCP srv:64566->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   12u  IPv4 0xfffffe01798353d0      0t0    TCP srv:10607->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   13u  IPv4 0xfffffe06a51ea000      0t0    TCP srv:64569->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   14u  IPv4 0xfffffe06cca01b70      0t0    TCP srv:10614->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   15u  IPv4 0xfffffe057c7267a0      0t0    TCP srv:10616->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
sshd    940 root   16u  IPv4 0xfffffe015b0277a0      0t0    TCP srv:12066->193.255.191.181.rdns.panamaserver.com:http (CLOSED)
в общем дохрена таких соединений CLOSED. очень много.

sockstat: 

root     sshd       940   3  tcp4   *:22                  *:*
root     sshd       940   4  tcp4   192.168.0.5:64810   181.191.255.193:80
root     sshd       940   5  tcp4   192.168.0.5:50593   181.191.255.193:80
root     sshd       940   6  tcp4   192.168.0.5:61666   181.191.255.193:80
root     sshd       940   7  tcp4   192.168.0.5:12042   181.191.255.193:80
root     sshd       940   8  tcp4   192.168.0.5:31370   181.191.255.193:80
root     sshd       940   9  tcp4   192.168.0.5:64563   181.191.255.193:80
root     sshd       940   10 tcp4   192.168.0.5:64565   181.191.255.193:80
root     sshd       940   11 tcp4   192.168.0.5:64566   181.191.255.193:80
root     sshd       940   12 tcp4   192.168.0.5:10607   181.191.255.193:80
root     sshd       940   13 tcp4   192.168.0.5:64569   181.191.255.193:80
root     sshd       940   14 tcp4   192.168.0.5:10614   181.191.255.193:80
root     sshd       940   15 tcp4   192.168.0.5:10616   181.191.255.193:80
root     sshd       940   16 tcp4   192.168.0.5:12066   181.191.255.193:80
root     sshd       940   17 tcp4   192.168.0.5:12072   181.191.255.193:80
root     sshd       940   18 tcp4   192.168.0.5:45528   181.191.255.193:80
root     sshd       940   19 tcp4   192.168.0.5:46683   181.191.255.193:80
root     sshd       940   20 tcp4   192.168.0.5:46687   181.191.255.193:80
в общем опять же куча таких вот сокетов.

netstat: 

tcp4       0      0 192.168.0.5.15718    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.52468    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.29572    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.16004    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.63611    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.63610    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.63609    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.51769    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.51764    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.51763    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.51761    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.51752    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.51751    181.191.255.193.80     CLOSED
tcp4       0      0 192.168.0.5.33789    181.191.255.193.80     CLOSED

При этом, на сервере установлен fail2ban, в логах которого данный адрес никак не фигурирует. Вопрос: с чем я столкнулся? Это лечится перезапуском sshd, но каким образом этот странный панамский бот мог повесить мне демона? Благодарен за любые мысли по теме.

★★★★★

Последнее исправление: Komintern (всего исправлений: 1)

1 2
Ответ на: комментарий от Komintern

Попробуй приконнектиться к нему netcat'ом. Сдаётся мне, это ненастоящий sshd. Плохо верится, что sshd любит ходить по сайтам.

unC0Rr ★★★★★
()

1. я бы посмотрел в исходники sshd раз это фря.

2. возможно тебя взломали, и повесили левый sshd который на самом деле просто бот в спам атаках.

visual ★★★
()
Ответ на: комментарий от unC0Rr

насколько я понял, это были входящие соединения с 80го порта 181.191.255.193 на мой sshd. или все же нет?

Komintern ★★★★★
() автор топика
Ответ на: комментарий от Komintern

Это исходящие, иначе же твой sshd слушает все порты подряд, а коннекаются к нему всегда с воьмидесятого. tcpdump (и tcpflow для любопытства) тебе в руки.

unC0Rr ★★★★★
()

192.168.0.5:64810 181.191.255.193:80

Я сейчас пьян, но судя по написанному, это ТЫ атакуешь некий ip на порт 80. То есть ты участник ботнета.

DALDON ★★★★★
()
Ответ на: комментарий от unC0Rr

охренеть. тогда еще интереснее. кстати неткат: 

$ nc srv 22
SSH-2.0-OpenSSH_5.8

не кажется странным? мне почему-то кажется...

Komintern ★★★★★
() автор топика
Ответ на: комментарий от DALDON

да. похоже на то. как неожиданно обернулась ситуация-то. если freebsd-update покажет что-либо, это будет мой первый в жизни случай встречи с настоящим руткитом.

Komintern ★★★★★
() автор топика
Ответ на: комментарий от Komintern

Это да... В общем могу сказать вот чего: у меня есть одна машинка шлюзец, смотрит в Интернет, портом 22, и портом Radmin прокинутым на виндовый сервер. Так вот Radmin у меня иногда падал, и было проблемно 1Сникам на винды пробраться... - Так когда меня это достало я таки заглянул в логи - и увидел что в секунду ко мне приходит минимум один панамский бот на Radmin и делает порядка 10ти попыток подобрать пароль на Radmin. - Когда я посмотрел логи ssh я понял, что я полный критин, там вообще МРАК...

В общем теперь как и везде буду закрывать всё нахрен, кроме openvpn на нестандартном порту.

DALDON ★★★★★
()
Ответ на: комментарий от unC0Rr

да, буду сравнивать сейчас через freebsd-update. наверное таки руткит )) еще б отследить как он туда попал.

Komintern ★★★★★
() автор топика
Ответ на: комментарий от Chaser_Andrey

Да я думаю что теперь ТСу нужно просто подниматься будет с бекапов и перезаливать ОС, и искать дыры в системе, возможно дыры в сайте.

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

врядли в сайте. подменить sshd можно только получив root, т.е если это дыра в сайте, то она должна дополняться локальным повышением привилегий в самой ОС. потому если у меня получится докопаться, каким образом это было сделано - скорее всего оформлю баг в бсдшный трекер.

Komintern ★★★★★
() автор топика
Последнее исправление: Komintern (всего исправлений: 1)
Ответ на: комментарий от Komintern

короче. это все же был первый в моей жизни воочию увиденный руткит. приложу все возможные усилия чтобы выяснить как он туда попал. в рассмотрении все варианты - в том числе локальное повышение привилегий, удаленный эксплойт, или же банальщина - кто-то логинился через путти на завирусованной винде, есть у меня и такие товарищи. пересобрал sshd следующим образом: 

# cd /usr/src/secure/lib/libssh && make clean obj all && cd /usr/src/secure/usr.sbin/sshd && make clean obj all install && cd /usr/src/secure/usr.bin/ssh &&  make clean obj all install && /etc/rc.d/sshd restart
и зафаерволил сервер до выяснения ситуации. теперь показывает нормальное приветствие: 
SSH-2.0-OpenSSH_5.8p2_hpn13v11 FreeBSD-20110503

И что бы я без ЛОРа делал =)

Komintern ★★★★★
() автор топика
Последнее исправление: Komintern (всего исправлений: 2)

сделай просто
грузанись каким-нит frenzy
и распакуй bin.txz
могу ошибаться
занлво разверни сис бинарники
и ройся в кроне, ищи левые shell срипьы

ubuntuawp ★★
()
Ответ на: комментарий от ubuntuawp

сделай просто

здравый (надеюсь) рассудок подсказывает что было откинуть (снять полный) образ копрометированной системы - чисто на посмотреть поковырять; поставить с 0 свежую, руками и вдумчиво вернуть конфиги, восстановить из бекапов хомяки и базы.

Долго, нудно и много мата :(

зы. у админов должен быть норматив - восстановить сервер на новом железе из бекапов, не более 40 мин.

MKuznetsov ★★★★★
()
Ответ на: комментарий от Komintern

обязательноотпишись, если найдешь дыру в системе

IvanR ★★★
()

Т.е. у тебя релиз без первого/второго патчлевела?

2013-04-02	FreeBSD-SA-13:04.bind 
2013-04-02	FreeBSD-SA-13:03.openssl 
2013-02-19	FreeBSD-SA-13:02.libc 
2013-02-19	FreeBSD-SA-13:01.bind
IPR ★★★★★
()
Ответ на: комментарий от xtraeft 
FreeBSD srv 9.1-RELEASE FreeBSD 9.1-RELEASE #3: Tue Feb  5 16:40:04 EET 2013     root@srv:/usr/obj/usr/src/sys/CUSTOM  amd64

да, процессор интел и конечно же x86_64: 

CPU: Intel(R) Xeon(R) CPU E5-2609 0 @ 2.40GHz (2400.05-MHz K8-class CPU)

ты намекаешь что это какой-то глобальный зависящий от процессора баг???

Komintern ★★★★★
() автор топика
Ответ на: комментарий от Komintern

ты намекаешь что это какой-то глобальный зависящий от процессора баг???

ну, было такое в прошлом году https://rdot.org/forum/showthread.php?t=2220
возможно, не до конца пофиксили (но вряд ли, наверное тут другая уязвимость)

xtraeft ★★☆☆
()
Ответ на: комментарий от xtraeft

ну если этот баг, то это я бы назвал локальной катастрофой, т.к у меня 99% парка на 64-битной фре и процессорах интел. как страшно жить.

Komintern ★★★★★
() автор топика
Ответ на: комментарий от Komintern

да фре везет на локал руты.
надо быть большим экстремалом, чтобы ее юзать на чем то важном

xtraeft ★★☆☆
()
Ответ на: комментарий от anton_jugatsu

для меня слово 0-day не значит ничего кроме анально огороженного трекера. что оно значит для тебя? я приветствую любые пояснения, мысли, даже не совсем по теме.
просто эта ситуация пошатнула мой уютный мир, и я теперь вообще не могу ничему и никому доверять.

Komintern ★★★★★
() автор топика
Ответ на: комментарий от anton_jugatsu

апач, пыхпых (fastcgi), мускуль (зафаерволеный). вполне возможно, что дырка в каком-нибудь раундкубе или phpmyadmin, удачно дополненная local root уязвимостью. сейчас я больше всего склоняюсь именно к такому варианту.

Komintern ★★★★★
() автор топика
Ответ на: комментарий от Komintern

или же банальщина - кто-то логинился через путти на завирусованной винде

скорее всего так и есть.

drBatty ★★
()
Ответ на: комментарий от Komintern

апач, пыхпых (fastcgi), мускуль (зафаерволеный). вполне возможно, что дырка в каком-нибудь раундкубе или phpmyadmin

а ты это всё обновляешь, или… Особенно последние два.

drBatty ★★
()
Ответ на: комментарий от Komintern

пони-растаманы? это новость.

новость - пропаганда наркотиков по требованию ФСКН. Теперь всем везде конопля мерещится. Даже в моей аватарке, даже в MLP. В СССР такого не было…

вообще-то обновляю. но не так часто, как видимо это нужно

тогда это не последний твой руткит.

PS: всё равно необходимый минимум выполни. вот здесь посмотри: www.linux.org.ru/wiki/en/Linux_Security_FAQ

касаемо sshd - смени порт на рандомный, запрети вход руту, запрети вход по паролю. Разреши вход для юзера(по ключу), и тем, кому НАДО - sudo. Но НЕ ВСЁ, а только то, что надо, и с логированием. От случайных атак (в т.ч. и из вендовых завирусованых машин) это обычно спасает (на 80%).

И да, настрой почтовые уведомления о проблемах. Так ты сможешь оперативно отслеживать попытки взлома.

drBatty ★★
()
Ответ на: комментарий от drBatty

В современных реалиях sshd лучше закрывать для всех, открывая только для доверенных сетех/хостов. На крайний случай использовать port-knocking.

Rost ★★★★★
()
Ответ на: комментарий от Komintern

для меня слово 0-day не значит ничего
просто эта ситуация пошатнула мой уютный мир, и я теперь вообще не могу ничему и никому доверять.

бесконечно милые советские фреадмины :)

xtraeft ★★☆☆
()
Ответ на: комментарий от drBatty

а ты это всё обновляешь, или… Особенно последние два.

открой для себя понятие 0day, обновлятор локалхоста

xtraeft ★★☆☆
()
Ответ на: комментарий от Rost

В современных реалиях sshd лучше закрывать для всех, открывая только для доверенных сетех/хостов

лучше конечно. но обычно невозможно.

drBatty ★★
()
Ответ на: комментарий от drBatty

причем тут твоя слака? если ты не знаешь, что апдейты не дают 100% гарантии безопасности, то лучше не позорься в очередной раз

xtraeft ★★☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Admin