Добрый день!
Взломали сервер арендованный в US.
Что можете посоветовать?
Хакеры изменили конфиг апача и перенесли его.
На серваке стоит:
squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D
Объясните мне тупому можно ли через открытые прокси через squid посылать email извне? т.к. пришел абуз от spamcop.net, что с сервака 60 000 писем ушло и положило сервак какой-то!мне кажется, что на серваке есть троян, который
переодически меняет конфиг апача и возможно еще делает что-то
По совету запустил chkrootkit:
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not found
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for HKRK rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... You have 4 process hidden for readdir command
You have 7 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deletedРугается на Possible LKM Trojan installed
Но вроде я посмотрел ничего такого в скрытых пакетах нет, ядро 2.6
auditd 1673
/usr/sbin/kernel@-f@/etc/kernel_config
/usr/sbin/named
usr/sbin/kernel-f/etc/kernel_config
/usr/sbin/kernel-f/etc/kernel_config
RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так и не понял
OS Fedora Core 4
Просьба не смеятся над ламерами админами, а помочь, кто сможет
Прочитал в соседней теме, что могут ломануть через ssl и ssh, но я к сожалению ничего не понимаю в этом как понять что через это ломанули(Заранее спасибо за ответ!
Главное вовремя спохватиццо, попробуй отследить откуда что идет, хужеж небудет, не паникуй
> chkproc: Warning: Possible LKM Trojan installedЭто говорит о том, что какая-то программа запустила несколько скрытых процессов. Напрмер, это делает Mozilla. chrootkit ругается на это во многих только что установленных дистрибутивах.
Сам проверял только что установленный AltLinux Master 2.4 и chrootkit ругался на это
>Добрый день!
>Взломали сервер арендованный в US.Сменить хостера на поближе, если вы сам не оттуда
>Что можете посоветовать?
>Хакеры изменили конфиг апача и перенесли его.
>На серваке стоит:
>squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -Dвот с этого момента: зачем на арендованном серваке у вас squid?
>
>Объясните мне тупому можно ли через открытые прокси через squid посылать email
>извне? т.к. пришел абуз от spamcop.net, что с сервака 60 000
>писем ушло и положило сервак какой-то!сквид не сквид, но прокси бывают разные - можно через socks и сквид плагины.
>
>мне кажется, что на серваке есть троян, который
>переодически меняет конфиг апача и возможно еще делает что-тоКажется, это лишь догадки. Так что именно делает сервак арендованный в УС?
>По совету запустил chkrootkit:
вот здесь нужно постить только то, что infected :)
>Checking `amd'... not found
--skip-->Ругается на Possible LKM Trojan installed
>Но вроде я посмотрел ничего такого в скрытых пакетах нет, ядро 2.6это фигня, загляните по какому признаку он так думает и снесите его никогда не запуская больше.
>
>auditd 1673
>/usr/sbin/kernel@-f@/etc/kernel_config
>/usr/sbin/named
>usr/sbin/kernel-f/etc/kernel_config
>/usr/sbin/kernel-f/etc/kernel_config
>RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так
>и не понялRedHate Edge Tech holes. Не стоит непатченную шляпу в продакшн ставить
Итак что вам нужно сделать сначала:
Выяснить какие-именно вам нужны процессы и все остальные остановить, удалив заодно их пакеты.
Систему обновить.
Ядро поставить с kernel.org и шляпное больше не юзать (если у вас не oracle)
Все логи перенаправить себе.
Закрутить гайки в файрволе.
Заменить openssh на ssh2 от ssh.com и сменить порт.
Занести apache2 (именно 2, обновить если не так) в чрут с ежечасной сверкой md5sum на статический контент и конфигов. С провалом сверки, простая перезапись с внешнего источника и алерт (впрочем логи вы уже себе перенаправили).
Ещё раз критично осмотреть процессы и лишние файлы по всей системе.Что сделать после этого:
Перечитать apache secure methods.
Перепроверить _все_ самописные скрипты и _все_ скрипты для вашего www. По возможности отказаться от php.
Подумать о смысле redhat в продакшене и потом освоить собственную сборку rpm критичных библиотек и приложений с оригинальных источников.
Уяснить раз и навсегда смысл selinux и настроить с макс. параноидальностью.
Настроить алерты в коллекторе логов.
Попить пиво за элементарную работу которую сразу нужно было сделать после установки системы.
Попивая пиво доделать мелочи безопасности.
Огромное спасибо за ответ, очень много полезной информации!
Я за это время тоже многое накопал!
Итак сервак не принадлежит мне, и я к сожалению только учусь администрировать!
Хозяину некогда и по фигу, поэтому наверное сервак легко и взломали!
Сервак действительно нужен в US, т.к. там размещается большое количество сайтов!
Я занимаюсь данным серваком, т.к. у меня там расположен сайт и просто интересно, в качестве обучения!
>>На серваке стоит:
>>squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D
Сквид оказывается нужен хозяину, я его временно убил
Однако спам как шел:( так и идет!>>RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так
>>и не понял
>
>RedHate Edge Tech holes. Не стоит непатченную шляпу в продакшн ставитьИтак руткитхантер находит троян по бинарнику /usr/bin/wp в процессах и в скрытых я такого не нашел! Как снести его не знаю!
Бинарник переименовал, систему перегрузил, запустилась))
Систему обновил! также обнаружил, что что-то делали с openssl и Gnupg Т.к. контрольные суммы не совпадают!
>
>Итак что вам нужно сделать сначала:
>Выяснить какие-именно вам нужны процессы и все остальные остановить, удалив заодно их
>пакеты.
Вроде сделал
>Систему обновить.
Сделал
>Ядро поставить с kernel.org и шляпное больше не юзать (если у вас
>не oracle)
Вот с этим сложно, как я соберу ядро нешляпное на удаленном сервере?>Закрутить гайки в файрволе.
Уметь бы это:(
>Заменить openssh на ssh2 от ssh.com и сменить порт.
На удаленном сервере опять же сложно сделать
>Занести apache2 (именно 2, обновить если не так) в чрут с ежечасной
>сверкой md5sum на статический контент и конфигов. С провалом сверки, простая
>перезапись с внешнего источника и алерт (впрочем логи вы уже себе
>перенаправили).
https://www.opennet.ru/base/sec/apache2_chroot.txt.html
Читаю и пытаюсь сделать) модулей действительно очень много подгружено в апаче(>Подумать о смысле redhat в продакшене и потом освоить собственную сборку rpm
>критичных библиотек и приложений с оригинальных источников.
А какую бы вы систему посоветовали? Я все время сидел на Slackware) просто и удобно) Федора более навороченная>Уяснить раз и навсегда смысл selinux и настроить с макс. параноидальностью.
С ним мне еще нужно разбираться:((
И опять же как настроить его на удаленном сервере!А вот пиво пить пока рано:) еще работы много
спасибо:-)
Итак я попробовал обнаружить файлы, которые были созданы(изменены) во время взлома, также как и файл /usr/bin/wp
И многие я удалил - перименовал,но не могу ничего поделать с файлами:
/bin/netstat
/bin/ps
/bin/socklist
/usr/bin/chsh
Система запрещает что-то менять! но ведь как-то рутки "заразил" эти файлы, как бы мне их
заменить на нормальные?
вот еще lsmod, если поможет:yealink 19777 0
ipv6 314689 20
autofs4 28361 1
dm_mod 70673 0
video 23881 0
button 12513 0
battery 15561 0
ac 10313 0
uhci_hcd 41441 0
ehci_hcd 42701 0
shpchp 104393 0
i2c_i801 14677 0
i2c_core 31297 1 i2c_i801
snd_hda_intel 25216 0
snd_hda_codec 110533 1 snd_hda_intel
snd_seq_dummy 8773 0
snd_seq_oss 43301 0
snd_seq_midi_event 13505 1 snd_seq_oss
snd_seq 70553 5 snd_seq_dummy,snd_seq_oss,snd_seq_midi_event
snd_seq_device 15185 3 snd_seq_dummy,snd_seq_oss,snd_seq
snd_pcm_oss 64625 0
snd_mixer_oss 24001 1 snd_pcm_oss
snd_pcm 111305 3 snd_hda_intel,snd_hda_codec,snd_pcm_oss
snd_timer 33481 2 snd_seq,snd_pcm
snd 74529 9 snd_hda_intel,snd_hda_codec,snd_seq_oss,snd_seq,snd_seq_device,snd_pcm_oss,snd_mixer_oss,snd_pcm,snd_timer
soundcore 16353 1 snd
snd_page_alloc 17745 2 snd_hda_intel,snd_pcm
e100 47937 0
mii 10561 1 e100
floppy 79065 0
ext3 151633 4
jbd 71400 1 ext3
ata_piix 15301 5
libata 59857 1 ata_piix
sd_mod 24513 6
scsi_mod 167929 2 libata,sd_mod
У тебя там что - музыкальная станция запущена на СЕРВЕРЕ?ps axef
ps axuvЭтого должно хватить посмотреть что откуда запускается
и откуда подгружается.lsof -i
Ну и netstat посмотри что выдаёт. Утилиту ps лучше поставь снова из
проверенного источника, а лучше скомпилируй там же и запусти указав абсолютный путь
к новому ps.
>У тебя там что - музыкальная станция запущена на СЕРВЕРЕ?
>
> ps axef
> ps axuv
>
>Этого должно хватить посмотреть что откуда запускается
>и откуда подгружается.
>
> lsof -i
>
>Ну и netstat посмотри что выдаёт. Утилиту ps лучше поставь снова из
>
>проверенного источника, а лучше скомпилируй там же и запусти указав абсолютный путь
>
>к новому ps.мой совет - переставить полностью систему, мало чего еще оставили хакера на твоём серваке!!!
Народ я короче покупал свой лицензионный дёдик покупал потом мне повестка в армию пришла, я решил перестраховаться и дёдик продал, кому я его продал он половину суммы отдал половину не стал возвращать, вот я и решил его наказать и выложил все даннные сервера, билинг панель и все айпи сервера, думаю может кому станет интересно и кто решит взломать дёдик..взранее благодарен..Все данные сервера:
Intel Pentium Dual Core E5300 2 x 2.6 Ghz 2GB DDR2 500GB SATA 600 UAHБилинг панель: https://cp.hosting.ua:443/psoft/servlet/psoft.hsphere.CP
Логин: skull
Пароль: 21262427
Данные для управления сервером:
Main IP : 213.155.18.216Additional IP: 213.155.18.217 213.155.18.218 213.155.18.219 213.155.18.220 213.155.18.221 213.155.18.222 213.155.18.223
Netmask: 255.255.255.0 Gateway: 213.155.18.254
login: Administrator
password: 2126Qwerty