LINUX.ORG.RU

Поломали сервер


0

2

Здравствуйте нашёл руткит на сайте решил проверить не оставили ли где ещё какую бяку. Где нашёл выковырял, но есть ещё кое-что.

Волнуюсь на создали ли лишнего пользователя. Так как с системой знакомиться стал недавно прошу помощи. Вот список из passwd.

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash


И ещё проверил chkrootkit он ругнулся на следующее

hing for suspicious files and dirs, it may take a while...
/usr/lib/.libgcrypt.so.11.hmac
/usr/lib/perl5/5.8.8/i386-linux-thread-multi/.packlist
/usr/lib/.libfipscheck.so.1.1.0.hmac
/usr/lib/.libfipscheck.so.1.hmac
/lib/.libcrypto.so.6.hmac
/lib/.libssl.so.6.hmac
/lib/.libssl.so.0.9.8e.hmac
/lib/.libcrypto.so.0.9.8e.hmac

Что с этим делать?


> нашёл руткит

на сайте

/0

passwd нормальный. к слову, если порутали, ничего не спасет. chkrootkit на точки указал.

uspen ★★★★★ ()

Так как на ЛОРе все телепаты, и все знакомы с вашей системой, то могу предположить, что лишняя строчка

root:x:0:0:root:/root:/bin/bash



Mr_Alone ★★★★★ ()

только переустановить систему с нуля

Harald ★★★★★ ()
Ответ на: комментарий от uspen

Фу, блин. Ночью не спал, соображалось(ется) плохо. Shell я нашёл, конечно, shell. А потом ещё кое-какие следы вмешательства всплыли.

Про точки я понял. Но он же больше ни на какие файлы с точками не ругался. Мне интересно хотя бы отдалённо понять, нужны ли эти файлы. Точнее, может ли их содержимое, например модифицированное, как-то представлять прямую опасность. Всё, что нашёл про них вертится около «HMAC hash value for a large data file». Если всё так, то думаю нет поводов для беспокойств, на счёт них.

ManM ()
Ответ на: комментарий от ManM

нет бы сказать дистрибутив хотябы, не говоря про то что заметил и т.д. фу тебе помогать.

uspen ★★★★★ ()
Ответ на: комментарий от uspen

Server security information Server software: Apache/2.2.3 (CentOS) Loaded Apache modules: core, prefork, http_core, mod_so, mod_auth_basic, mod_auth_digest, mod_authn_file, mod_authn_alias, mod_authn_anon, mod_authn_dbm, mod_authn_default, mod_authz_host, mod_authz_user, mod_authz_owner, mod_authz_groupfile, mod_authz_dbm, mod_authz_default, util_ldap, mod_authnz_ldap, mod_include, mod_log_config, mod_logio, mod_env, mod_ext_filter, mod_mime_magic, mod_expires, mod_deflate, mod_headers, mod_usertrack, mod_setenvif, mod_mime, mod_dav, mod_status, mod_autoindex, mod_info, mod_dav_fs, mod_vhost_alias, mod_negotiation, mod_dir, mod_actions, mod_speling, mod_userdir, mod_alias, mod_rewrite, mod_proxy, mod_proxy_balancer, mod_proxy_ftp, mod_proxy_http, mod_proxy_connect, mod_cache, mod_suexec, mod_disk_cache, mod_file_cache, mod_mem_cache, mod_cgi, mod_version, mod_php5, mod_proxy_ajp Disabled PHP Functions: none cURL support: enabled Supported databases: MySql (5.0.77)

Readable /etc/passwd: yes [view] Readable /etc/shadow: no OS version: Linux version 2.6.18-238.9.1.el5.028stab089.1 (root@rhel5-build-x64) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-46)) #1 SMP Thu Apr 14 14:06:01 MSD 2011 Distr name: CentOS release 5.5 (Final) Kernel \r on an \m

Userful: ld, make, php, perl, python, tar, gzip, bzip2, locate Danger: chkrootkit, iptables Downloaders: wget, lynx, curl

ManM ()
Ответ на: комментарий от uspen

Съелось форматирование :(

Это о системе было.
Нашёл:
webshell.NAA
в корне сайта
2шт phpmyadmin
1 adminner
1 jsys.php Joomla System Utils естественно без пароля к получению данных
2 файла с вызовом phpinfo
В админке сайта по максимуму отключена безопасность (MODx)

и логи 5-20 мб с неудачными подключениями по ssh Силно похожие на брутфорс.

ManM ()
Ответ на: комментарий от uspen

Не ругайтесь, я не расчитывал на такую масштабную помощь. :) Про лишнюю строку улыбнуло.

ManM ()
Ответ на: комментарий от ManM

видимо, банальщина. В логах ssh все же глянь, вломились или нет.

uspen ★★★★★ ()
Ответ на: комментарий от ManM

> Про лишнюю строку улыбнуло.

Чего улыбнуло? Колонка «/bin/bash» разве не настораживает?

segfault ★★★★★ ()
Ответ на: комментарий от segfault

Я сейчас анекдот расскажу. Я web программист. Договариваюсь я на доработку сайта. В процессе он говорит что у него только SFTP. А когда до дела дошло, то он прислал рутовый пароль, вот говорит, тебе пароль от SFTP. А ещё этот пароль достался не только мне, но ещё и «раскрутчикам». Так что /bin/bash меня смущает меньше всего.

ManM ()
Ответ на: комментарий от ManM

У юзера mysql не может быть баша, по крайней мере ни в одном дистрибутиве по умолчанию ему его никто не дает.
А значит, очень вероятно, что кто то сделал это руками.

Т.е тебе нужна помощь квалифицированного админа, который переустановит систему и настроит все так, чтобы взлом не повторился.

winddos ★★★ ()
Ответ на: комментарий от ManM

Да... эпичный хостинг. Но раз не вы - админ, то и не вам стоит волноваться.

segfault ★★★★★ ()
Ответ на: комментарий от ManM

grep mysql /etc/passwd
mysql:x:27:27:mysql:/dev/null:/sbin/nologin

И в /etc/shadow для юзера mysql вместо хэша, или пустого места вставить *.

imul ★★★★★ ()

Total reinstall from the scratch, админчик.

It's almost impossible to ensure your system is malware free after it's been hacked into unless you are God himself.

juk4windows ()
Ответ на: комментарий от imul

Спасибо. В shadow mysql юзер заблокирован (!!). Тему закрываю. Я, пожалуй, больше ни чего сделать не смогу.

ManM ()
Ответ на: комментарий от segfault

Ну я взялся по нескольким причинам.
1. Меня попросили, и, возможно, за возню капнет профит. (скорее всего, в общем-то)
2. Оставлять ярко выраженные дырки не хочется. Если сайт опять исковеркают в самом ближайшем будущем совсем мне не на руку. А когда возьмут полноценного админа.. Я опасаюсь, что как обычно в нашей стране это событие будет связано с агрессивными действиями самца курообразных, прошедшего высокотемпературную обработку.
3. Мне и самому интересно повозиться. :) Знания, опыт и всё такое.

В общем так. Логи почитал вроде чисто. Ни чего подозрительного. В логах SSH тоже вроде порядок. в shadow у всех юзеров, кроме рута в графе пароли либо (!!), либо *.

Про то что нет ни каких гарантий, что самое надёжное переставить систему, понял, и передал заказчику.

Всем вам большое спасибо за советы и за помощь. Очень выручили.

ManM ()
Ответ на: комментарий от winddos

>mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash

В CentOS 6 так по умолчанию! Правда в shadow пусто.

leha7hostel ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.