Skocz do zawartości
Zaloguj się, aby obserwować  
jasne

Wykrycie programu do ddos

Polecane posty

WItam

 

Posiadam serwer dedykowany który dostawca zablokowal poniewaz jego system monitoringu

wykryl iz moj serwer robi mase polaczen z obcym ip. Ponizej logi ktore otrzymalem od dostawcy:

 

 

startime endtime

scr port dst port

-----------------------------------------------------------

-----------------------------------

2011-06-29 08:29:25 2011-06-29 08:29:57

MOJ-IP:40762 OBCY-IP:110

2011-06-29 08:29:30 2011-06-29 08:29:55

MOJ-IP:41713 OBCY-IP:110

2011-06-29 08:29:31 2011-06-29 08:29:55

MOJ-IP:47441 OBCY-IP:110

 

 

Sprawdzałem serwer rkhunter oraz chkrootkit .. i nic nie znalazlem...

Te polaczenia generowane sa o roznych porach i dniach...

Jak moge znalezc zrodlo ktore to generuje ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

iptables -A OUTPUT -p tcp --dport 110 -j LOG --log-prefix sledzik --log-uid 

Potem

cat /var/log/messages | grep sledzik

Będziesz miał UID/GID szkodnika, który owe połączenia wykonał.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Przeszukaj foldery do których jest możliwość zapisu z poziomu php np. /tmp, jeśli php działa jako moduł przeszukaj pliki których właścicielem jest serwer www i które były modyfikowane / tworzone na przełomie ostatnich dni. Najpewniej możesz mieć dziurawy jakiś komponent / moduł o co na hostingu współdzielonym nie trudno, gdyż tam większość userów stawia cmsa i zapomina, że aktualizować trzeba <_>

Stosując logowanie przez iptables i znając uid usera, który nawiązuje połączenia na wskazany port szybko odnajdziesz podejrzaną binarkę / skrypt za pomocą którego dokonywane są ataki.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

w zasadzie tak ale nie udostępniam hostingu nikomu innemu także wszystko jest moje i na nic mi UID / GID... potrzebuje konkretną nazwę pliku + ścieżkę dostępu

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość mahho

Sprawdź może co jakiś czas netstat -tanp to może znajdziesz ten proces odpowiadający za wysyłkę

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zablokuj obce ip na porcie 110 i niech odblokują Ci usługę.

A Ty monitoruj łącze czy coś się dzieje na porcie 110.

 

Więcej Ci doradzić nie mogę bo za bardzo nie znam się na FW itd.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×