Меня поломали

Меня поломали

Полностью?

reinstall и восстановление из бэкапов

Ставить заново и востанавливать сайты из бекапов. Если уже есть доступ к руту то других решений не существует

php-myadmin

рукалицо

Он позволяет добраться до рута?

Кто?

PS: В логах пусто.

Хочу понять - как и через что залезли?

Погите пожалуйста. Систему перестанавливать это оочень дорого (простой)

Если тот кто ломал систему получил права рута логам доверять не стоит, у него полный контроль

Пароль то у меня сложный. Засветить вроде немог. Каковы шансу то что повысили права из nginx?

Скорей всего троян у кого то из разработчиков, который слил пасс. С nginx возможно, но это менее вероятно, либо дырка в одном из сайтов, где есть возможность получить рута

на борту, наружу смотрит тимспик. еще я учился пользоваться вот этим https://git-scm.com/book/ru/v1/%D0%92%D0%B2%D0%B5%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5-%D0%9E%D1%81%D0%BD%D0%BE%D0%B2%D1%8B-Git

кроме php-myadmin которая тоже с root правами.

Вот и ответ.

Так дырка конечно есть. Но ониже из под nginx рабят - как такто ?

Это как - он же у меня даже непривязал к доменному имени я через /etc/hosts на него попадаю

И к тому же чтобы добраться до php-myadmin нужно в него попасть я так понимаю.

Вот и ответ.
кроме php-myadmin которая тоже с root правами.

Директория phpmyadmin просто принадлежит руту, какой нахер «вот и ответ»?

Хоть сам понял что написал? Не важно из под чего, дыра она и в африке дыра, тем более с правами рута.

Как ее использовать? И каким боком то это дыра?

Как в эту дыру попасть не зная логина?

ЗЫ. тут кое че в логах нарыл

 77.222.40.115 - - [28/Oct/2015:10:16:02 +0300] «POST /wp-includes/js/tinymce/plugins/wpgallery/model.php HTTP/1.1» 200 8403 "-" «Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)» 77.222.40.115 - - [28/Oct/2015:10:16:30 +0300] «POST /wp-includes/js/tinymce/plugins/wpgallery/model.php HTTP/1.1» 200 7107 "-" «Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)» 77.222.40.115 - - [28/Oct/2015:10:16:59 +0300] «POST /wp-includes/js/tinymce/plugins/wpgallery/model.php HTTP/1.1» 200 6650 "-" «Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)» 

Это первые запросы которые были после создания данного домена в логах nginx-а

т.е. время создания совпадает с созданием папки сайта Вот сам файл: http://pastebin.com/JhaErNB3

Что в audit?

От кого работает http?

Все ясно. С этой обфускацией каждый день встречаюсь - там шелл. Но это не связано на прямую со взломом.

Что говорит

exim -bpc ?

user nginx nginx;

Что такое audit?

Это как - он же у меня даже непривязал к доменному имени я через /etc/hosts на него попадаю
И к тому же чтобы добраться до php-myadmin нужно в него попасть я так понимаю.

Действительно, как?

[Sun Nov 01 16:38:20 2015] [error] [client 178.66.129.189] File does not exist: /var/www/phpMyAdmin-2.6.1-rc1
[Sun Nov 01 16:38:20 2015] [error] [client 178.66.129.189] File does not exist: /var/www/phpMyAdmin-2.8.1-rc1
[Sun Nov 01 16:38:20 2015] [error] [client 178.66.129.189] File does not exist: /var/www/phpMyAdmin-2.8.1
[Sun Nov 01 16:38:20 2015] [error] [client 178.66.129.189] File does not exist: /var/www/phpMyAdmin-2.8.2
[Sun Nov 01 21:51:46 2015] [error] [client 80.82.79.36] File does not exist: /var/www/phpMyAdmin
[Sun Nov 01 21:51:46 2015] [error] [client 80.82.79.36] File does not exist: /var/www/phpmyadmin
[Sun Nov 01 21:51:46 2015] [error] [client 80.82.79.36] File does not exist: /var/www/pma
[Sun Nov 01 21:51:46 2015] [error] [client 80.82.79.36] File does not exist: /var/www/myadmin
[Sun Nov 01 21:51:47 2015] [error] [client 80.82.79.36] File does not exist: /var/www/MyAdmin

http://www.remoteshaman.com/unix/common/linux-auditlog-explain

он не стоит. Но. В попытке рассылки спама учавствуют 4-ре сайта. все функции работы с почтой отключены

Кстати, посмотри в wp-themes, wp-plugins - много интересного найдешь.

rkhunter запусти

http://habrahabr.ru/company/first/blog/242865/

Фигня, конечно, но иногда кажет что-либо.

Ну, и у нас любят всякие

https://revisium.com/ai/

Типа греп на стеройдах. Хотя можешь погрепать по base64 , eval и тп.

На время создания не обращай внимания, его можно заменить

Среди тыся зараженных сайтов я этого не замечал. Обычно не изменяют.

Да, а пароль рута - слабый, только честно? Порт не дефолтный, надеюсь, у sshd?

Но это вполне возможно, даже без рутовских прав. Я как то с этим столкнулся

да, возможно. Можно и права менять, и время модификации. Но я, честно сказать, не встречал.

И что? так у меня nginx работает от пользователя nginx Вот это не сработает:

<?php
system('touch //etc//nginx//test');
?>

У меня на этом и прокололись. Время модификации было старое, файл не попал в бекап

Пароль жесткий - очень. порт нестандартный.

hunter вот что говорит:

System checks summary
=====================

File properties checks...
    Files checked: 140
    Suspect files: 3

Rootkit checks...
    Rootkits checked : 376
    Possible rootkits: 0

Applications checks...
    Applications checked: 4
    Suspect applications: 0

The system checks took: 68 minutes and 36 seconds

-Шеф, у нас дыра в безопасности! -Ну хоть что-то у нас в безопасности.

И что? так у меня nginx работает от пользователя nginx Вот это не сработает:

Я же процитировал выше.

Ну если не понятно, то это пример логов в котором боты подбирают URI phpMyAdmin, причём подбирают они по диапазону адресов, а не по именам.

И это ни в коем случае не было примером того, как вас ломанули.

// Да, кстати, судя по всему взлом прошёл через дырявый плагин к вордпрессу, и нжинкс не виноват. Так что может нжинкс делать system('touch //etc//nginx//test'); или нет - без разницы.

P.S: есличё, я не настоящий сварщик, просто один мой знакомый упорно сидит на вордпрессе и его постоянно ломают примерно с такими же симптомами

P.P.S: ну манулом ещё прогони, чтоли https://yandex.ru/promo/manul/#about

Так я пон про подбор по диапазону.

А вот про то что ломануть из под WP и чтото писать в root директории это врятли. Как это так без разницы - а как по вашему будут исполняться комманды через дырявый WP от имени root пользователя?

Достаточно залить шелл и выполнить его от имени рута. Пароль там и не нужен.

он дерьмо, которое например из-за внутренней ошибке может из базы сделать кашу. и да, через него можно добраться до рута.

Через WP залить шелл в директорию phpmyadmin-а (который работает под рутом) И дело в шляпе.

Да, кстати, судя по всему взлом прошёл через дырявый плагин к вордпрессу, и нжинкс не виноват

Объясните, как http может создать в etc конфиг, если он работает от непривилегированного пользователя, который не обладает соответствующими разрешениями?

Как его исполнить от имени root?

root нужно получить ведь - а у меня собственно и вопрос как такто?

ЗЫ если конечно я его сам незапустил...

Положить в директорию phpmyadmin и запустить phpmyadmin.bla.com/shell.php

WAT?

там просто владелец root, а http работает не от root

Так так. А вот это похоже на правду. Щас попробую это проделать....

кроме php-myadmin которая тоже с root правами