Konrad.K 0 Zgłoś post Napisano Sierpień 25, 2008 Witam Dostałem dzisiaj meila od serwerowni że z mojego serwera dedykowanego lecą ataki bruteforce na inne maszyny (dość ostro i masywnie). Każą mi coś z tym zrobić bo zrobią mi kuku pstrykając serwer. Jako że uczę się ciągle zarządzania serwerami (na własny użytek) to prosił bym Was o porady co mogę zrobić żeby wytropić dziurę, i ją zakleić. Na ten moment jedyne na co wpadłem to poblokowanie kilku funkcji w PHP oraz włączenie SafeMode - choć wątpie żeby to tutaj leżał problem No WHTowcy, budzić wyobraźnie i wesprzeć przyjaciela w potrzebie Pozdrawiam. Udostępnij ten post Link to postu Udostępnij na innych stronach
Krystian 17 Zgłoś post Napisano Sierpień 25, 2008 @offtop: Możesz powiedzieć w której serwerowni masz serwer? Udostępnij ten post Link to postu Udostępnij na innych stronach
Konrad.K 0 Zgłoś post Napisano Sierpień 25, 2008 FastIT Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość normanos Zgłoś post Napisano Sierpień 25, 2008 na dobry poczatek rkhunter potem moze z nosem w logi? Udostępnij ten post Link to postu Udostępnij na innych stronach
lazy 33 Zgłoś post Napisano Sierpień 25, 2008 Witam Dostałem dzisiaj meila od serwerowni że z mojego serwera dedykowanego lecą ataki bruteforce na inne maszyny (dość ostro i masywnie). Każą mi coś z tym zrobić bo zrobią mi kuku pstrykając serwer. Jako że uczę się ciągle zarządzania serwerami (na własny użytek) to prosił bym Was o porady co mogę zrobić żeby wytropić dziurę, i ją zakleić. Na ten moment jedyne na co wpadłem to poblokowanie kilku funkcji w PHP oraz włączenie SafeMode - choć wątpie żeby to tutaj leżał problem No WHTowcy, budzić wyobraźnie i wesprzeć przyjaciela w potrzebie poszukaj podejrzanych plikow w tmp (ls -lha /tmp /var/tmp) podejrzanych kont (less /etc/shadow) wszystko co ma ustawione haslo a nie jest ustawione przez ciebie jest bardzo podejrzane podejrzanych procesow (ps axu), podejrzane moga byc takze mocno zajete procesy apache jesli serwer www nie jest akurat obciazony netstat -pnt pokaze co i gdzie sie laczy, na serwerze nie powinno byc u ciebie prawdopodobnie zadnych polaczen wychodzacych poza np. mysql, poczta bardzo podejrzany bedzie proces laczacy sie na porty 6667 (irc) mozesz wyslac wyniki ps axu, ls -lha /tmp /var/tmp, uname -a, netstat -pnt, netstat -lpn wtedy moze uda sie cos wyłowic poszukaj tez dziwnych wywołan w accesslogu chodzi o wywolania z adresem url zamiast numeru strony itp. wiecej na http://en.wikipedia.org/wiki/Remote_File_Inclusion tak bym strzelal, ktos sie wlamal przez dziurawe php i postawil bota i sie bawi -- Lazy Udostępnij ten post Link to postu Udostępnij na innych stronach
MiSi3kK 16 Zgłoś post Napisano Sierpień 25, 2008 Proponuję zablokować wszystkie niepotrzebne porty wychodzące. Pewnie masz też ustawione w php możliwość includowania zew. skryptów. Wtedy wystarczy, że ktoś zapoda odpowiedni plik i już robic co chce (masz powyżej w linku do wiki) Udostępnij ten post Link to postu Udostępnij na innych stronach
Konrad.K 0 Zgłoś post Napisano Sierpień 25, 2008 OO, jak miło WHT Team nigdy nie zawodzi Już zaraz zacznę zabawę i będę zdawał raporty z mojej walki (z wiatrakami) choć zapewnie nie obejdzie się bez garści pytań podczas tej zabawy, choć postaram się by google było tym głównym, a może i jedynym pytanym Udostępnij ten post Link to postu Udostępnij na innych stronach
Konrad.K 0 Zgłoś post Napisano Sierpień 25, 2008 Normanos, rkhunter i znalezione w jego logu ostrzezenia i koncowy wynik wyglada tak: [00:22:26] /bin/egrep [ Warning ][00:22:26] Warning: The command '/bin/egrep' has been replaced by a script: /bin/egrep: Bourne shell script text executable [00:22:26] /bin/fgrep [ Warning ] [00:22:26] Warning: The command '/bin/fgrep' has been replaced by a script: /bin/fgrep: Bourne shell script text executable [ Warning ] [00:22:28] Warning: The command '/bin/which' has been replaced by a script: /bin/which: Bourne shell script text executable [ Warning ] [00:22:30] Warning: The command '/usr/bin/groups' has been replaced by a script: /usr/bin/groups: Bourne shell script text executable [ Warning ] [00:22:31] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable Info: Starting test name 'trojans' [00:23:23] Info: Using inetd configuration file '/etc/inetd.conf' [00:23:24] Checking for enabled inetd services [ Warning ] [00:23:24] Warning: Found enabled inetd service: imap2 [00:23:47] System checks summary [00:23:47] ===================== [00:23:47] [00:23:47] File properties checks... [00:23:47] Required commands check failed [00:23:47] Files checked: 120 [00:23:47] Suspect files: 6 [00:23:47] [00:23:47] Rootkit checks... [00:23:47] Rootkits checked : 110 [00:23:47] Possible rootkits: 0 [00:23:47] [00:23:47] Applications checks... [00:23:47] Applications checked: 8 [00:23:48] Suspect applications: 0 [00:23:48] [00:23:48] The system checks took: 1 minute and 28 seconds @lazy: - w tmp nic ciekawego poza plikami sesji nie znalazłem - żadne podejrzane konto nie rzuciło mi się w oczy (chyba że się mylę) - żaden proces nie wydał się dziwny, żaden także nie wywołuje loadów Wyniki netstat: server69:/var/log# netstat -pntActive Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 85.***.134.160:80 208.80.193.41:60176 TIME_WAIT - tcp 0 0 85.***.134.160:80 202.160.178.37:39065 TIME_WAIT - tcp 0 0 85.***.134.160:80 83.12.110.202:44793 TIME_WAIT - tcp 0 0 85.***.134.160:80 208.80.193.41:58905 TIME_WAIT - tcp 0 0 85.***.134.160:80 66.249.72.138:51040 TIME_WAIT - tcp 0 0 85.***.134.160:80 74.6.17.178:33000 TIME_WAIT - tcp 0 0 85.***.135.74:43347 193.17.41.93:80 ESTABLISHED20824/httpd tcp 0 0 85.***.134.160:80 130.60.144.225:35901 TIME_WAIT - tcp 0 0 85.***.134.160:80 201.252.14.134:2053 TIME_WAIT - tcp 0 0 85.***.134.160:80 74.6.17.178:33243 TIME_WAIT - tcp 0 0 85.***.134.160:80 202.160.180.149:54451 TIME_WAIT - tcp 0 5337 85.***.134.160:80 83.12.110.202:39578 ESTABLISHED26879/lighttpd tcp 0 0 85.***.134.160:80 130.60.144.225:35955 TIME_WAIT - tcp 0 0 85.***.134.160:80 65.102.92.30:1294 TIME_WAIT - tcp 0 0 85.***.134.160:80 130.60.144.225:35992 TIME_WAIT - tcp 0 0 85.***.134.160:80 83.2.73.210:59721 TIME_WAIT - tcp 0 0 85.***.134.160:80 65.102.92.30:1290 TIME_WAIT - tcp 0 0 85.***.134.160:80 208.80.193.41:58518 TIME_WAIT - tcp 0 0 85.***.134.160:80 203.209.252.60:58428 TIME_WAIT - tcp 0 0 85.***.134.160:80 130.60.144.225:35998 TIME_WAIT - tcp 0 0 85.***.134.160:80 130.60.144.225:35978 TIME_WAIT - tcp 0 0 85.***.134.160:80 202.160.179.125:43096 TIME_WAIT - tcp 0 0 85.***.134.160:80 61.247.222.54:46101 TIME_WAIT - tcp 0 0 85.***.134.160:80 130.60.144.225:36027 TIME_WAIT - tcp 0 4357 85.***.135.74:80 66.249.71.65:47592 ESTABLISHED20824/httpd tcp 0 0 85.***.134.160:80 130.60.144.225:36011 TIME_WAIT - tcp 0 0 85.***.134.160:80 202.160.180.165:51035 TIME_WAIT - tcp 0 0 85.***.134.160:80 74.6.17.178:33573 TIME_WAIT - tcp 0 0 85.***.134.160:80 202.160.180.108:42760 TIME_WAIT - tcp 0 0 85.***.134.160:80 83.2.73.210:60689 TIME_WAIT - tcp 0 0 85.***.134.160:80 83.12.110.202:46110 TIME_WAIT - tcp 0 0 85.***.134.160:80 83.12.110.202:35093 TIME_WAIT - tcp6 0 5020 ::ffff:85.***.135.:5000 ::ffff:83.10.183.:58680 ESTABLISHED20930/0 server69:/var/log# uname -aLinux server69.pl 2.6.18-ovz-028stab053.5-smp #1 SMP Sat Mar 1 12:19:31 CET 2008 i686 GNU/Linux @MiSi3kK: Jak wyciąć zbędne porty ? Poblokowałem już w php.ini co trzeba, odpaliłem SafeMode, jeszcze trochę pobuszuje po tej konfiguracji Udostępnij ten post Link to postu Udostępnij na innych stronach
lazy 33 Zgłoś post Napisano Sierpień 25, 2008 Normanos, rkhunter i znalezione w jego logu ostrzezenia i koncowy wynik wyglada tak: @lazy: - w tmp nic ciekawego poza plikami sesji nie znalazłem - żadne podejrzane konto nie rzuciło mi się w oczy (chyba że się mylę) - żaden proces nie wydał się dziwny, żaden także nie wywołuje loadów Wyniki netstat: tcp 0 0 85.***.135.74:43347 193.17.41.93:80 ESTABLISHED20824/httpd uzywasz u siebie apache ? to ze apache laczy sie z jakims serwerem www wskazuje wlasnie na RFI, poszukaj w logach apache odwolan z http://costam w adresie ewentualnie strace -p 20824 (numerek moze sie zmieniac, pobierz aktualny z netstata) 2>&1 |less da jakis oglad co proces robi i powinny sie przewinac nazwy plikow przez ktore moze wchodzic wlamywacz kernel dosc stary, 53.5 jest chyba nawet podatne na splice choc na openvz standardowy exploit nie działa tcp6 0 5020 ::ffff:85.***.135.:5000 ::ffff:83.10.183.:58680 ESTABLISHED20930/0 to tez podejrzane a co masz w netstat -lpnt -- Lazy Udostępnij ten post Link to postu Udostępnij na innych stronach
Konrad.K 0 Zgłoś post Napisano Sierpień 25, 2008 server69:/usr/local/lib# netstat -lpntActive Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 29148/mysqld tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 26879/lighttpd tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 6617/mysqld tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 29561/pdns_server-i tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 29325/vsftpd tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 6548/exim tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 6701/vm-pop3d tcp 0 0 0.0.0.0:2222 0.0.0.0:* LISTEN 6544/directadmin tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 29305/master tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 6575/inetd tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 6357/portmap tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 4965/httpd tcp 0 0 85.114.134.165:53 0.0.0.0:* LISTEN 6517/named tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 6630/proftpd: (acce tcp 0 0 85.114.135.74:53 0.0.0.0:* LISTEN 6517/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 6517/named tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 6548/exim tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 6517/named tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 4965/httpd tcp6 0 0 :::5000 :::* LISTEN 21097/sshd tcp6 0 0 :::53 :::* LISTEN 6517/named tcp6 0 0 ::1:953 :::* LISTEN 6517/named tcp6 0 0 :::5000 :::* LISTEN 29319/sshd Logi zaraz przeszukam Udostępnij ten post Link to postu Udostępnij na innych stronach
lazy 33 Zgłoś post Napisano Sierpień 25, 2008 Logi zaraz przeszukam hmm tcp6 0 0 :::5000 :::* LISTEN 21097/sshd tcp6 0 0 :::53 :::* LISTEN 6517/named tcp6 0 0 ::1:953 :::* LISTEN 6517/named tcp6 0 0 :::5000 :::* LISTEN 29319/sshd czyli to netstat z hardwarenode z jakims openvz vpsem z DA? a te 5000 to twoje ssh, wiec zostaje tylko apache laczacy sie z czyms na o2 pamietaj ze accesslogi w da sa podzielone o ile dobrze pamietam grep http /var/log/httpd/domains/*.log (czy jakos tak) powinno przesiac odpowiednich kandydatow na wlam -- Lazy Udostępnij ten post Link to postu Udostępnij na innych stronach
Konrad.K 0 Zgłoś post Napisano Sierpień 25, 2008 Tak, jest jeden mały VPS z oddzielnym softem na jeden serwis, jest DA 5000 to moje ssh. grep http /var/log/httpd/domains/*.log <-- po tej komendzie wywalilo mi tyle koszmicznych rzeczy że wiesz, ale tak spojrzalem to były to głównie boty google, boty msn, i pobrania z wrzuty przez skrypt jednego z userow na serwerze Udostępnij ten post Link to postu Udostępnij na innych stronach
lazy 33 Zgłoś post Napisano Sierpień 25, 2008 Tak, jest jeden mały VPS z oddzielnym softem na jeden serwis, jest DA 5000 to moje ssh. grep http /var/log/httpd/domains/*.log <-- po tej komendzie wywalilo mi tyle koszmicznych rzeczy że wiesz, ale tak spojrzalem to były to głównie boty google, boty msn, i pobrania z wrzuty przez skrypt jednego z userow na serwerze ten podejrzany apache to wrzuta jest wiec odpada masz jakies informacje jakie konkretnie ataki i co najwazniejsze kiedy, wtedy dobrze by przejrzec dokladnie acceslogi z tego okresu -- Lazy Udostępnij ten post Link to postu Udostępnij na innych stronach
Konrad.K 0 Zgłoś post Napisano Sierpień 26, 2008 Wysyłąm Ci na PW fragment tego co dostałem od FastIt. Udostępnij ten post Link to postu Udostępnij na innych stronach
lazy 33 Zgłoś post Napisano Sierpień 26, 2008 Wysyłąm Ci na PW fragment tego co dostałem od FastIt. skany ssh czesto sa odpalane po zalogowaniu sie na serwer bota wlasnie przez ssh, w netstacie nie bylo zadnych wychodzacych polaczen ssh, wiec pewni juz sie skonczylo, pospradzaj kto sie logowal na ssh, przed sknem, i poszukaj dziwnych rzeczy w .bash_history, moze ktos ma ustawione słabe hasło ? (moze warto przejechac johnem) moze niedawno przeniosles ssh na port 5000 i zalogowali sie wczesniej ? -- Lazy Udostępnij ten post Link to postu Udostępnij na innych stronach
Konrad.K 0 Zgłoś post Napisano Sierpień 26, 2008 Hmm, port 5000 mam od samego początku, ba - nikt poza mną nie ma konta do ssh na tym serwerze, kilku znajomych dostało tylko zwykłe konta w DA. W historii bash nie ma nic niepokojącego, widzę kilka poczynań admina, kilka moich zabaw, i później już od momentu krytycznego samą walkę i grzebanie przeze mnie w konfigach - więc albo ktoś jest na tyle cwany że zatarł ślady, albo nie odbyło się to bezpośrednio przez SSH...tak? Udostępnij ten post Link to postu Udostępnij na innych stronach
lazy 33 Zgłoś post Napisano Sierpień 26, 2008 Hmm, port 5000 mam od samego początku, ba - nikt poza mną nie ma konta do ssh na tym serwerze, kilku znajomych dostało tylko zwykłe konta w DA. W historii bash nie ma nic niepokojącego, widzę kilka poczynań admina, kilka moich zabaw, i później już od momentu krytycznego samą walkę i grzebanie przeze mnie w konfigach - więc albo ktoś jest na tyle cwany że zatarł ślady, albo nie odbyło się to bezpośrednio przez SSH...tak? mozliwe, a logowania czy pojawiaja sie jakies nieznane hosty ? last powinno tu pomoc Udostępnij ten post Link to postu Udostępnij na innych stronach
Konrad.K 0 Zgłoś post Napisano Sierpień 26, 2008 matih@s- ftpd3000 87.***.58.77 Mon Aug 4 09:25 - 09:41 (00:15)matih@s- ftpd2258 87.***.61.139 Mon Aug 4 08:52 - 09:03 (00:10) matih@s- ftpd2125 87.***.61.139 Mon Aug 4 08:44 - 08:55 (00:10) matih@s- ftpd15268 87.***.58.77 Mon Aug 4 15:45 - 15:55 (00:10) matih@s- ftpd15069 87.***.58.77 Mon Aug 4 15:35 - 15:51 (00:16) teres@lo ftpd31476 79.***.12.91 Sun Aug 3 16:10 - 17:01 (00:50) Tylko te wpisy wydały mi się dziwne... chociaż może ktoś komuś dał subkonto, cholera wie;/ Udostępnij ten post Link to postu Udostępnij na innych stronach
