LINUX.ORG.RU

Взлом сервера


0

0

Привет всем! Обнаружила у себя на сервере в каталоге /tmp два архива mech.tgz и xpl.tar.gz. Первый был разархивирован в /tmp/.m . Похоже, что успели произвести установку и запуститься, так как Netstat показал, что процессом mech установлено соединение на мой сервер с IP 161.53.178.240:6667 и открыт порт udp 32769. С испугу удалила, не изучив, все из каталога /tmp. Подскажите, пожалуйста, кто сталкивался с подобным видом взлома, что он из себя представляет и что могли заменить в системе, не хочется переустанавливать. ОС Debian Linux последний стабильный релиз. Открыты были ssh, 80, FTP-anonymous.

Спасибо, Вера

anonymous

Re: Взлом сервера

Предположительно это был словарный перебор по SSH. Проверьте пароли при помощи john.

А что могло переписать - так это зависит от того, какой из аккаунтов был взломан. Надеюсь, для root у вас ssh login был закрыт. Если нет - переставляйтесь, т.к. user от которого это было запущено вам неизвестен , а значит гарантий никаких нет.

nblx ()

Re: Взлом сервера

Скорее всего, взлои был через уязвимое web-приложение, установленное на сервере. С большой долей вероятности могу утверждать, что через php-скрипты.

http://www.linux.org.ru/jump-message.jsp?msgid=1034211

Deleted ()

Re: Взлом сервера

надо набрать ps -ax и внимательно посмотреть (на наличие пустых строк)

theserg ★★★ ()
Ответ на: Re: Взлом сервера от theserg

Re: Взлом сервера

>надо набрать ps -ax и внимательно посмотреть (на наличие пустых строк)
что именно понимается под пустой строкой?
именно пустая или неполная?

меня не ломали, но вопрос интересный - потому и спрашиваю ;)

unicsoid ★★ ()

Re: Взлом сервера

Лучше всего сохранить слепок со взломанной системы для дальнейшего изучения и восстановитья с неповреждённого бакапа..

Если чистить на ходу, то следует обратить внимание на запущенные процессы.. странные соединения.. необычные ядерные модули.. необычные изменения в файловых системах.. просмотри history.. просмотри логи.. проверь все странные пользовательские аккаунты в системе.. Поменяй пароли, всему, чему возможно... Иногда помогает изучение системы при загрузке с подходящего LiveCD... Вообщем, это процесс долгий и пропотливый..

Скорее всего влезли действительно через http, хотя, через ssh тоже есть вероятность, но меньшая..

MiracleMan ★★★★★ ()
Ответ на: Re: Взлом сервера от MiracleMan

Re: Взлом сервера

Спасибо всем за участие в обсуждении проблемы. Конечно руту в ssh доступ был запрещен. По логам видела, что действительно шел перебор имен для доступа по ssh, но успешной попытки не было. Подозрение на вторжение через http, но утверждать точно не могу, поскольку удаленно работают на сервере разработчики сайта, возможно следы в логах их. Еще вариант проникновения через анонимный прокси. Если интересно, то попозже напишу, что было. Я тоже работаю удаленно на этом сервере, но пока он выключен для доступа и мне придется идти к физическому месту расположения. Но все-таки, что за программа mech (архив mech.tgz)и архив xpl.tar.gz? В интернете не нашла ответа.

anonymous ()

Re: Взлом сервера

очень умнО было что-то стирать и вообще что-то менять.

неужели нельзя было сначала выключить сервер, а потом тут спросить? =)

можно почитать тут: http://ivlad.unixgods.net/inc-resp.shtml

mech.tgz я нашел, похоже, это http://www.energymech.net/

xpl.tar.gz - это какой-то эксплоит, но так много чего называют.

history и /var/log/* сохранились или тоже потерты?

ivlad ★★★★★ ()
Ответ на: Re: Взлом сервера от ivlad

Re: Взлом сервера

Действительно с тем, что убила файлы, я ступила. hystory Следов не оставил, а логи не потерты. Сейчас зайду на предложенные вами сайты.

anonymous ()
Ответ на: Re: Взлом сервера от anonymous

Re: Взлом сервера

логи сложите куда-нибудь на посмотреть. можно мне в мыло. ivlad malpaso ru. можно убрать там доменное имя, хотя я все равно вижу, откуда вы пришли.

ivlad ★★★★★ ()
Ответ на: Re: Взлом сервера от ivlad

Re: Взлом сервера

21й век на дворе а они до сих пор логинятся по паре логин/пароль... Аппаратные ключи - это фантастика, конечно же

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.