LINUX.ORG.RU

Меня поломали

 ,


0

7

VPS на gentoo:

Linux server1 4.1.5-x86_64-linode61 #7 SMP Mon Aug 24 13:46:31 EDT 2015 x86_64 Intel(R) Xeon(R) CPU E5-2670 0 @ 2.60GHz GenuineIntel GNU/Linux
gentoo
Nginx: Installed versions:  1.8.0

Захожу значит на сервер добавить хост а там root:root /var/www/blabla.ru в то время как все с правами nginx:nginx, кроме php-myadmin которая тоже с root правами.

Иду в /etc/nginx/sites/ и вижу там прописанный данный сайт!

Я знаю что у меня пару тройку сайтов дырявые! Нок КАК удалось создать это все да еще с правами root???

chkrootkit ниче не показал.

Что делать как быть?

Ответ на: комментарий от murmur

конечно, если настроено все нормально. beerdy Давай сюда конфиги свои

murmur ()
Ответ на: комментарий от karaien

Сервер httpd работает от apache -

root      2327  0.0  1.0 592320 19928 ?        Ss   13:56   0:00 /usr/sbin/httpd -DFOREGROUND
apache    2329  0.0  0.4 592452  8992 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2330  0.0  0.4 592452  8992 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2331  0.0  0.4 592452  8992 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2332  0.0  0.4 592452  8992 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2333  0.0  3.6 615404 68004 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2334  0.0  1.8 598740 35456 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2336  0.0  0.4 592452  7748 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2339  0.0  1.1 697256 20804 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2340  0.0  0.4 592452  7748 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND
apache    2342  0.0  0.4 592452  8244 ?        S    13:56   0:00  \_ /usr/sbin/httpd -DFOREGROUND

Вопрос - как он сможет что-то записать в /etc ? =)

int13h ★★★★★ ()
Ответ на: комментарий от int13h

У beerdy nginx, и по его словам «кроме php-myadmin которая тоже с root правами» я понимаю что хост php-myadmin.blabla.ru работает от рута.

А так да, надо смотреть конфиги, иначе єто гадание на кофейной гуще.

karaien ★★ ()
Ответ на: комментарий от karaien

У beerdy nginx,

Какая разница, какой веб сервер - apache/lighttpd/blackhttpd/nginx + php-fpm - в любом случае он запущен от пользователя, который не должен ничего писать в системные каталоги.

int13h ★★★★★ ()
Ответ на: комментарий от int13h

У меня как минимум один клиент в месяц, который все поднимет под рутом, а потом удивляется «А почему у меня IP в спам базах и почта не доходит?».

karaien ★★ ()
Ответ на: комментарий от karaien

и по его словам «кроме php-myadmin которая тоже с root правами»

Да, верно - владелец root. Вы же его и ставите

yum install phpmyadmin

Установленные пакеты
Название: phpMyAdmin
Архитектура: noarch
Версия: 4.4.15.1
Выпуск: 1.el7
Объем: 22 M
Источник: installed
Из источника: epel
Аннотация: Handle the administration of MySQL over the World Wide Web
Ссылка: https://www.phpmyadmin.net/
Лицензия: GPLv2+ and MIT and BSD
Описание: phpMyAdmin is a tool written in PHP intended to handle the administration of
        : MySQL over the World Wide Web. Most frequently used operations are supported
        : by the user interface (managing databases, tables, fields, relations, indexes,
        : users, permissions), while you still have the ability to directly execute any
        : SQL statement.
        : 
        : Features include an intuitive web interface, support for most MySQL features
        : (browse and drop databases, tables, views, fields and indexes, create, copy,
        : drop, rename and alter databases, tables, fields and indexes, maintenance
        : server, databases and tables, with proposals on server configuration, execute,
        : edit and bookmark any SQL-statement, even batch-queries, manage MySQL users
        : and privileges, manage stored procedures and triggers), import data from CSV
        : and SQL, export data to various formats: CSV, SQL, XML, PDF, OpenDocument Text
        : and Spreadsheet, Word, Excel, LATEX and others, administering multiple servers,
        : creating PDF graphics of your database layout, creating complex queries using
        : Query-by-example (QBE), searching globally in a database or a subset of it,
        : transforming stored data into any format using a set of predefined functions,
        : like displaying BLOB-data as image or download-link and much more...

Получается даже, что это системный компонент, а не хост, по логике ментейнеров:

/etc/httpd/conf.d/phpMyAdmin.conf

Хотя в битриксе он ставится как хост - но это мелочи.

int13h ★★★★★ ()
Ответ на: комментарий от karaien

Еще есть вариант с криво настроенным sudo, трюки з симлинками и куча всего остального.

В его ситуации исключим - там VPS от хостера, не думаю, что все так дыряво.

int13h ★★★★★ ()

Вот VPS-ка с php-fpm и nginx

root      9258  0.0  6.9 102368  5148 ?     Ss   Oct28   0:20 php-fpm: master process (/etc/php5/fpm/php-fpm.conf)                    
www-data  9264  0.0  2.7 102368  2064 ?     S    Oct28   0:00  \_ php-fpm: pool www                                                       
www-data  9265  0.0  2.4 102368  1824 ?     S    Oct28   0:00  \_ php-fpm: pool www                                                       
root      9625  0.0  0.6   6492   480 ?     Ss   Oct28   0:00 nginx: master process /usr/sbin/nginx -c /etc/nginx/nginx.conf
www-data  9626  0.0  2.0   6772  1548 ?     S    Oct28   0:00  \_ nginx: worker process       
int13h ★★★★★ ()
Последнее исправление: int13h (всего исправлений: 1)
Ответ на: комментарий от karaien

Я все это к тому - что поломали товарища не из-за его дырявых сайтиков, а из-за чего-то другого. К примеру, слабого пароля или из-за кейлоггера на его компе - наверное там Windows.

Я видел более печальную картину. У одного товарища был putty на windows, c которой он ходил на сервера. И стоял там кейлоггер, как потом выяснилось, - все сервера через некоторое время начали рассылать спам, были поломаны.

int13h ★★★★★ ()
Ответ на: комментарий от int13h

Тоже вариант. Где-то видел статью о поломаном тоталкомандере и файлзилле, которые пересылали пароли к ftp.

karaien ★★ ()
Ответ на: комментарий от int13h

на машине джента, то есть ТС (либо кто то до него) сам собирал систему. Сомневаюсь что сапорт поможет. Максимум даст консоль или диски для бекапа

arkadij-smirnov ()

Чаще всего ломают через популярные скрипты. Если учесть, что у ТС'а на серваке крутится WordPress, в котором найден обфусцированный шелл и в истории фигурирует phpMyAdmin, то вывод просится сам собой. Самые популярные методы получения рута: 1) эксплоит; 2) пароль рута совпадает с паролем, который был найден в бд/конфигах/.bash_history/открытом доступе.

Nietzsche ()
Ответ на: комментарий от int13h

Ахаха)))

СИЛЬНО не бейте))))

1. Попробовал запустить скрипт из под nginx в папке с руут правами - ниче не вышло (вопрос еще как его опять же залить))) а вот php sc.php из под рута все ок. Отсюда вывод что это ничего не значит - что скрипт даже если залит в директорию ПХП под рут правами, т.к. процес то рабит под пользователем nginx с стандартными разрешениями заданными по дефолту при установке. Максиум что мы добьемся это поломаем сайты хостинга. 2. Единственный выход это получить шелл под nginx-ом и повысить права до root эксплоитом (которого, кстати, на мое ядро нет). Другой вариант пробиться через порты которые открыты. Но я проверил данное ПО на уязвимости в сети - публичных из которых не оказалось. 3. Все проверки chkrootkit, rkhunter результата тоже недали. Про проверку сайтов не говорю т.к. с ними все понятно - они дырка. Нестандартных конфигов моего ПО нет все из коробки с незначительными изменениями не касающихся изменений привелегий пользователей хозяев их процессов.

4. Виндой не пользуюсь как рабочей машиной. Если пользуюсь то под обычным пользователем. Рабочий ноут тоже на gentoo lenovo z50-70. Хостинг на linode (по мне так он лучший) на XEN уже три года. Но меня все равно напрягал тот факт что иной раз мне приходилось выходит с разных машин, но редко, на свою VPS а еще у меня на android стоит JuceSSH )))

5. Самый интересный пункт. Пошел я в туалет и в процессе исполнения нужды по маленькому, вспомнил, как меня одна девчонка попросила сделать ей хостинг подешевле на год, я сделал. И походу мне самому нужно к врачу и я это серьезно т.к. прошло не так много времени а я б..ть уже забыл что делал.

beerdy ()
Ответ на: Ахаха))) от beerdy

Я ж тебе и говорю, что nginx работает от www-data и поломать ничего не сможет.

Ситуация такая - ты буратино и забыл что хосты настраивал, а wp у тебя поломали из-за уязвимостей - лучше обнови его. И максимум что сможет поломанный сайт - нагадить у себя и у своих товарищей.

int13h ★★★★★ ()
Ответ на: комментарий от murmur

и я про то. А то тут уже 5 подписавшихся - и все думают - «о драма, а вдруг и правда nginx у ТСа все поломал», а оказалось все более прозаичней - пошел посцать, вспомнил о бабе и хостах =)

int13h ★★★★★ ()
Ответ на: комментарий от int13h

Эт. Фигня. У меня было дело когда так торопился в отпуск, что сделал

rm -R *

- в ~ директории в которой всегда собирается хлам на продакшене из под рута. Чтото процесс затянулся и я подума что ssh сессия подвисла. Ну что думаю дайка пробел нажму а он НАЖИМАЕТСЯ. Я Контрл-С давлю! делаю

srv#ls
bash: ls: command not found

Ну кто побывал меня поймет - у меня было то чувство которое передать нельзя... Ок. Думаю у меня же бэкапы есть! Еще глубже думаю и понимаю что они у меня бэкапятся на смонтированный

DAV /home/yandexdisk
. Захожу на диск а там от бекапов только конфиги остались (в корзину при таком удаление Ядиска не кидается). Я поставил локти на стол, обхватил руками головушку. Сначала было полное очищение разума - именно то которого буддисты достигают в течении нескольких жизней) Потом я вспомнил про ручные бекапы, месячной давности - легче или тяжелее при этом не становилось (ощущения и вправду непередаваемые)... Но вот я обновляю страницу одного из сайтов и о чудо - обновился! Сервисы в памяти а до раздела
/var rm -R
еще недобрался. Вот такая вот история, но правда сервака уже небыло оставался только его фантом в памяти сервера))) Пришлось в сжатый срок компилить gentoo.

beerdy ()
Ответ на: комментарий от beerdy

rm -R *

Мутная какая-то у тя история. По идее без ключа «f» команда должна быть удостовериться, хочешь ли ты этого. Ты ведь захотел?

И второй момент.

директории в которой всегда собирается хлам на продакшене из под рута

Ты «хлам из под рута» действительно собираешь в корне?

Majestio ()

Эпично. А вы спрашиваете зачем в шляпе весь этот геморрой с политиками SELinux.

asaw ★★★★★ ()
Ответ на: Ахаха))) от beerdy

Re: Ахаха)))

Так рута получили через девченку? Но как? Ты ж ей сам рута не давал?

anonymous ()
Ответ на: Re: Ахаха))) от anonymous

Да нет. Он бабы сайты разместил у себя и забыл про них - подумал, что его взломали.

int13h ★★★★★ ()
Ответ на: Ахаха))) от beerdy

Re: Ахаха)))

на android стоит JuceSSH
android

:^)

anonymous ()
Ответ на: комментарий от Majestio

А нее))) у меня на gentoo

Я в курсе. К примеру на mint у меня действительно спрашивает и на centos тоже а вот на gentoo не спрашивает) Даже щас на ноутбуке недавно поставил calculate, тоже не спрашивает (ну эту кальку -всетаки придеться и на десктопе обратно на gentoo)

beerdy ()
Ответ на: комментарий от int13h

пошел посцать, вспомнил о бабе

Тактильная память сработала.

Deleted ()
Ответ на: комментарий от Majestio

На счет "хлама из под рута"

если сделать cd то мы попадаем в коренную директорию root: /root )))) я это имел ввиду и думал что я там и нахожусь. но как оказалось я был не втом месте и не вто время)

beerdy ()
Ответ на: комментарий от asaw

Нда

SElinux мне заказан. Из одного сайта теперь ИП в *опе

beerdy ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.