LINUX.ORG.RU
ФорумSecurity

Как неучу узнать откуда дует?


0

4

Поимели меня уже дважды:

Пришел абуз от хетцнера

Точнее, мои ресурсы не пострадали. Просто с моего впс идет брутфорс разного.

Что я делал в первый раз?
1. Заказал новый впс (дебиан ламп + вебмин).
2. Зашел на него с проверенного на вирусную\трояны компа. Из другого браузера.
3. Накатил все абдейты (из реп хетцнера)
4. Удалил кучу всего. В первую очередь - мускуль и пыхпыхмойадмин.
5. Удалил лишние модули вебмина.
6. Перенес файлы, обновил ДНСы.

Помогло ненадолго.

По моей крестьянской логике получается, что:
а) либо косяк именно в моих скриптах (один сайт все же рнр, хотя и без обмена данными, без регистрационных форм, без любого интерактива, тупо инклуды кусков статичного кода).
б) либо какая-то дырка в лине\вебмине, и меня через нее имеют.

Первое - проверял.. Ну чистые файлы. И левых не вижу. И доп. директорий в апаче нет.

Второе - ну как-то маловероятно что ли.

Куда копать? Кто виноват кроме меня?)


Закрыть вебмин снаружи вообще, подключаться через ssh-туннель к нему. Нафига он вообще тебе нужен ты что не можешь конфиг вхоста в апаче сам составить? Если тебе динамики не надо смотри SSI (Server Side includes) древность конечно но для кусков текста подходит.

hidden_4003
()

А вот если впс был бы под windows...

anonymous
()

Куда копать?

0. Поменять пароли от всего (впс, ssh, почта, и т.д.)
1. Читать логи всего, что можно. Искать когда и как повесили зловреда, как зашли. Включить больше логов, если потребуется. Логировать подозрительный траффик (iptables -j LOG).
2. Искать зловреда, гуглить по названию файлов.
3. «Чистый» комп, с которого ходишь на впс, он с виндой или линуксом? Если с виндой, то снести винду, поставить линукс.

ddos3
()
Ответ на: комментарий от ddos3

0. Уже. Сразу
1. Не умею.
2. Не знаю.
3. Виртуалка с виндой. Хост система предварительно была проверена.

dk-
() автор топика
Ответ на: комментарий от dk-

Не умею. Не знаю.

Найти того, кто умеет и знает. Тут аналитики с ЛОРа не помогут.

Виртуалка с виндой. Хост система предварительно была проверена.

Пару лет назад натыкался на зловреда, который моментально заражал новые виндовые машины в локалке, не ловился антивирусами и воровал пароли от ftp (после чего менял html-файлы на ftp, вставляя фреймы с drive-by заразой).

ddos3
()

5. Удалил лишние модули вебмина.

Правильно так: «удалил вебмин»

6. Перенес файлы, обновил ДНСы.

У апача есть право на запись в эти файлы и каталоги?

sin_a ★★★★★
()

не. юзай. вебмин. и. парольный. вход.
Только ssh, только ключи.

Через трой в твоей винде все эти доступы наверняка и уводят снова и снова.

tazhate ★★★★★
()

Зашел на него с проверенного на вирусную\трояны компа.

И проверял ты его конечно же каким-нибудь антивирусом, да?

edigaryev ★★★★★
()

Ты не выполнил рекомендации с прошлого раза и опять пришел жаловаться на ту же проблему?

kernelpanic ★★★★★
()

Давайте посмотрю, если вы не против. Напишите мне на почту iam@valdikss.org.ru

ValdikSS ★★★★★
()

дырка в вебмине

маловероятно

Ясно.

Ip0 ★★★★
()

Смотреть утилиты *top и логи(апача, баш и тд). Как уже советовали сноси вебмин, ставь ключи на ssh. Посмотри какие сервисы торчат в интернет. Проверь пароль от личного кабинета на хостинге, от фтп, от всего что как-то связано с виртуалкой. Также проверь права на каталоги.

Erfinder
()
Последнее исправление: Erfinder (всего исправлений: 1)

тебе надо было выполнить только п.6:

6. Перенес файлы, обновил ДНСы

всё остальное - НЕ устанавливать. Никаких вебминов и прочего мусора. Просто сделай так, чтобы твои сайты на чистой системе заработали - И ВСЁ.

reprimand ★★★★★
()

Как неучу узнать откуда дует?

  1. Находишь еще нескомпрометированный компьютер, качаешь с него какой-нибудь Live CD с линуксом (например, http://www.kali.org/) и записываешь его на DVD или флешку.
  2. Загружаешься, меняешь пароли во всех местах, как-то связанных с VPS (хостинг, почта, etc.)
  3. Выполняешь шаги с 3 по 6 включительно (делаешь все точно так же, как делал до этого)

Если ты сделал все правильно и после этого сервер опять поломают — проблема скорее всего не в винде, иначе — нутыпонял, виндузятники должны страдать.

edigaryev ★★★★★
()
Последнее исправление: edigaryev (всего исправлений: 1)

Тебе еще в прошлый раз говорили - найми человека, тебе не поможет смена паролей и остальное. Это настолько не твое, что ты воду в решете носишь, считая его ведром. У тебя не просто непонимание основ, а неправильное их понимание. Не в обиду, я вот панораму один раз в жизни делал - так не сообразил даже что с одной точки снимать надо. Каждому свое. Найми человека.

handbrake ★★★
()

Кейлогер или ещё какая-нибудь дрянь на клиентском компе, с которого заходил на vps в обоих случаях.

Jurik_Phys ★★★★★
()

Не админь Linux через оффтопик (вообще его исключи из процесса, как в виртуалке, так и на хосте). Скорее всего кейлоггер в винде увёл твой пароль на сервере, а люди добрые постарались и сделали всё остальное.

peregrine ★★★★★
()
Ответ на: комментарий от dk-

фигня, у тебя может голой жопой наружу торчать тухлый NTP (http://habrahabr.ru/post/209438/) или bind (http://habrahabr.ru/post/51574/)

причем судя по относительно небольшому исходящему, может оказаться что сервисы настроены правильно, но юзаются ботами автоматически (хоть ничего и не усиливают)

Deleted
()
Ответ на: комментарий от hidden_4003

dk-, прислушайся. крайне дельный совет. вебмин остается в той конфигурации, какой хочешь. но торчать он будет не наружу, а внутрь. для того чтобы достучатся до него предварительно подымается ssh-туннель. для ssh’а разрешить вход только по ключах и перевесить его на другой порт.

ZuBB ★★★★★
()
Ответ на: комментарий от MrClon

Даже тот, что «на рнр» на самом деле 100% статик хтмл. Просто пых пух инклудами собирает его кусками.

dk-
() автор топика

либо какая-то дырка в лине\вебмине, и меня через нее имеют.

удали нафиг вебмин.

emulek
()
Ответ на: комментарий от dk-

1. Не умею. 2. Не знаю.

а изучить матчасть не судьба, да? Тогда у меня для тебя плохие новости...

emulek
()
Ответ на: комментарий от maverik

Проверять надо форматированием раздела и забиванием в него рандома.

быстрее /dev/zero забивать.

emulek
()
Ответ на: комментарий от edigaryev

Находишь еще нескомпрометированный компьютер, качаешь с него какой-нибудь Live CD

да можно и заражённом загрузить http://www.slax.org

emulek
()
Ответ на: комментарий от dk-

Просто пых пух инклудами собирает его кусками.

многие зловреды в index.php своё дерьмо приписывают. Тут достаточно одной таблетки.

emulek
()
Ответ на: комментарий от dk-

и, да я бы пересоздал vps и все данные на нем работая из под любого linux live cd. дабы немножко увеличить шансы

ZuBB ★★★★★
()

А что это вообще значит?

May  9 11:17:01 www-77 /USR/SBIN/CRON[23247]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
May  9 11:39:01 www-77 /USR/SBIN/CRON[23368]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -ignore_readdir_race -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)
May  9 12:09:01 www-77 /USR/SBIN/CRON[23550]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -ignore_readdir_race -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)
May  9 12:17:01 www-77 /USR/SBIN/CRON[23748]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
dk-
() автор топика

В линуксе вирусов нет, это и так все знают.

pony
()

1. Не умею.
2. Не знаю.

2500р в час, сервак под такие задачи собирать с нуля проще будет, чем разгребать косяки этого. Надумаешь нанимать – кастуй.

Кто виноват кроме меня?

Родители, преподаватели и путен.

Goury ★★★★★
()

Ошибся, тебя поимели не дважды, а многажды поимели…

Deathstalker ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security