LINUX.ORG.RU
ФорумSecurity

Взлом сервера


0

0

Привет всем! Обнаружила у себя на сервере в каталоге /tmp два архива mech.tgz и xpl.tar.gz. Первый был разархивирован в /tmp/.m . Похоже, что успели произвести установку и запуститься, так как Netstat показал, что процессом mech установлено соединение на мой сервер с IP 161.53.178.240:6667 и открыт порт udp 32769. С испугу удалила, не изучив, все из каталога /tmp. Подскажите, пожалуйста, кто сталкивался с подобным видом взлома, что он из себя представляет и что могли заменить в системе, не хочется переустанавливать. ОС Debian Linux последний стабильный релиз. Открыты были ssh, 80, FTP-anonymous.

Спасибо, Вера

anonymous

Предположительно это был словарный перебор по SSH. Проверьте пароли при помощи john.

А что могло переписать - так это зависит от того, какой из аккаунтов был взломан. Надеюсь, для root у вас ssh login был закрыт. Если нет - переставляйтесь, т.к. user от которого это было запущено вам неизвестен , а значит гарантий никаких нет.

nblx
()

Скорее всего, взлои был через уязвимое web-приложение, установленное на сервере. С большой долей вероятности могу утверждать, что через php-скрипты.

http://www.linux.org.ru/jump-message.jsp?msgid=1034211

Deleted
()
Ответ на: комментарий от theserg

>надо набрать ps -ax и внимательно посмотреть (на наличие пустых строк)
что именно понимается под пустой строкой?
именно пустая или неполная?

меня не ломали, но вопрос интересный - потому и спрашиваю ;)

unicsoid ★★
()

Лучше всего сохранить слепок со взломанной системы для дальнейшего изучения и восстановитья с неповреждённого бакапа..

Если чистить на ходу, то следует обратить внимание на запущенные процессы.. странные соединения.. необычные ядерные модули.. необычные изменения в файловых системах.. просмотри history.. просмотри логи.. проверь все странные пользовательские аккаунты в системе.. Поменяй пароли, всему, чему возможно... Иногда помогает изучение системы при загрузке с подходящего LiveCD... Вообщем, это процесс долгий и пропотливый..

Скорее всего влезли действительно через http, хотя, через ssh тоже есть вероятность, но меньшая..

MiracleMan ★★★★★
()
Ответ на: комментарий от MiracleMan

Спасибо всем за участие в обсуждении проблемы. Конечно руту в ssh доступ был запрещен. По логам видела, что действительно шел перебор имен для доступа по ssh, но успешной попытки не было. Подозрение на вторжение через http, но утверждать точно не могу, поскольку удаленно работают на сервере разработчики сайта, возможно следы в логах их. Еще вариант проникновения через анонимный прокси. Если интересно, то попозже напишу, что было. Я тоже работаю удаленно на этом сервере, но пока он выключен для доступа и мне придется идти к физическому месту расположения. Но все-таки, что за программа mech (архив mech.tgz)и архив xpl.tar.gz? В интернете не нашла ответа.

anonymous
()

очень умнО было что-то стирать и вообще что-то менять.

неужели нельзя было сначала выключить сервер, а потом тут спросить? =)

можно почитать тут: http://ivlad.unixgods.net/inc-resp.shtml

mech.tgz я нашел, похоже, это http://www.energymech.net/

xpl.tar.gz - это какой-то эксплоит, но так много чего называют.

history и /var/log/* сохранились или тоже потерты?

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

Действительно с тем, что убила файлы, я ступила. hystory Следов не оставил, а логи не потерты. Сейчас зайду на предложенные вами сайты.

anonymous
()
Ответ на: комментарий от anonymous

логи сложите куда-нибудь на посмотреть. можно мне в мыло. ivlad malpaso ru. можно убрать там доменное имя, хотя я все равно вижу, откуда вы пришли.

ivlad ★★★★★
()
18 июля 2006 г.
Ответ на: комментарий от ivlad

21й век на дворе а они до сих пор логинятся по паре логин/пароль... Аппаратные ключи - это фантастика, конечно же

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security