LINUX.ORG.RU
ФорумSecurity

Подозрение на взлом VDS

 подозрение на взлом


1

5

Привет, LOR.

Есть вот такая вот VDS'ка...

[root@server ~]# cat /etc/redhat-release 
CentOS release 5.7 (Final)
[root@server ~]# uname -a
Linux srv.domain.ru 2.6.18-274.18.1.el5.028stab098.1 #1 SMP Sat Feb 11 15:30:41 MSK 2012 x86_64 x86_64 x86_64 GNU/Linux

И на ней наблюдается вот такое поведение:

[root@server ~]# ps aux | grep ssh
root      1460  0.0  0.0  66044  1552 ?        S    09:15   0:00 /bin/bash /etc/rc3.d/S55sshd start
root      1467  0.0  0.1  60564  2364 ?        S    09:15   0:00 /usr/sbin/sshd
root      1507  0.0  0.0  62656  1216 ?        Ss   09:15   0:00 /usr/sbin/sshd
root      1588  0.0  0.0  63252   848 pts/2    R+   09:45   0:00 grep ssh

[root@server ~]# service sshd stop
Останавливается sshd:                                      [  OK  ]

[root@server ~]# ps aux | grep ssh
root      1460  0.0  0.0  66044  1552 ?        S    09:15   0:00 /bin/bash /etc/rc3.d/S55sshd start
root      1467  0.0  0.1  60564  2364 ?        S    09:15   0:00 /usr/sbin/sshd
root      1605  0.0  0.0  63252   844 pts/2    R+   09:45   0:00 grep ssh

[root@server ~]# service sshd status
openssh-daemon остановлен

[root@server ~]# lsof | grep ssh
S55sshd 1460  root  cwd       DIR               0,44    4096 102009909 /
S55sshd 1460  root  rtd       DIR               0,44    4096 102009909 /
S55sshd 1460  root  txt       REG               0,44  768664 107185686 /bin/bash
S55sshd 1460  root  mem       REG              253,1         107185686 /bin/bash (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         107381915 /lib64/ld-2.5.so (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         107382022 /lib64/libtermcap.so.2.0.8 (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         107381978 /lib64/libdl-2.5.so (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         107381962 /lib64/libc-2.5.so (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         113026639 /usr/lib/locale/locale-archive (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         112168830 /usr/lib64/gconv/gconv-modules.cache (path dev=0,44)
S55sshd 1460  root  mem       REG              253,1         107382026 /lib64/libnss_files-2.5.so (path dev=0,44)
S55sshd 1460  root    0u      CHR                1,3         107381895 /dev/null
S55sshd 1460  root    1u      CHR                1,3         107381895 /dev/null
S55sshd 1460  root    2u      CHR                1,3         107381895 /dev/null
S55sshd 1460  root  255r      REG               0,44    3414 107186528 /etc/rc.d/init.d/sshd

На одном из портов (14202), висит некий сервис, который не виден нетстатом на VDS, но виден при сканировании nmap'ом.

У меня приступ паранойи или это таки взлом? Что ещё можно проверить в системе, что бы понять, что эта штука делает?

Спасибо.


я не спец, но подумалось...

cat /etc/passwd на предмет новых пользователей

+ сменить текущие пароли.

bvn13 ★★★★★
()
Ответ на: комментарий от bvn13

VDS будет переустановлен. Пока что, интересно, сталкивался ли кто-то с подобным? Может быть это и не взлом, а просто глюк SSH? Гугл на эти вопросы ответов не даёт.

kp
() автор топика
Ответ на: комментарий от kp

а что в файле /etc/rc3.d/S55sshd? и проверь он принадлежит какому то пакету или сам по себе?

зы: не спеши все сносить или сделай бэкап всей системы, бо если все таки проломили лучше узнать как, иначе проломят второй раз

зыы: вроде в ссх есть фича когда он оставляет старые ссх сессии на рестарте, а ты ж туда ссх зашел? попробуй с консоли зайти и проверить

Skolotovich ★★★
()
Ответ на: комментарий от Skolotovich

а что в файле /etc/rc3.d/S55sshd? и проверь он принадлежит какому то пакету или сам по себе?

С самим файлом всё было в порядке, сравнивал его с таким же файлом с нескольких других серверов.

зы: не спеши все сносить или сделай бэкап всей системы, бо если все таки проломили лучше узнать как, иначе проломят второй раз

Увы, клиент уже снёс и сделал реинсталл.

зыы: вроде в ссх есть фича когда он оставляет старые ссх сессии на рестарте, а ты ж туда ссх зашел? попробуй с консоли зайти и проверить

Заходил я с ноды, не напрямую по SSH, потому так смело sshd и останавливал. При остановке sshd, процесс в любом случае продолжал висеть.

kp
() автор топика
Ответ на: комментарий от kp

Заходил я с ноды, не напрямую по SSH, потому так смело sshd и останавливал. При остановке sshd, процесс в любом случае продолжал висеть.

и ты уверен что никто не кроме тебя ссх не пользовал? или что не осталось где то висеть ссх сессии?

очень похоже на фичу ссх, но к сожалению пруфов на эту фичу найти не могу ):

Skolotovich ★★★
()
Ответ на: комментарий от Skolotovich

100% не было никого кроме меня. Сессии тоже вряд ли могли остаться, VDS я осматривал и сразу же после ребута, этот процесс уже там висел, при том что sshd из автозапуска уже был убран.

kp
() автор топика
Ответ на: комментарий от kp

Да, возможно и пролом. К тому же после перезапуска сервера поднимался, и что нетстатом не был виден. Тоесть в совокупности признаков - похоже.

ChAnton ★★
()
Ответ на: комментарий от kp

Но теперь это уже точно не проанализировать, к сожалению.

ChAnton ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security