URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3144
[ Назад ]

Исходное сообщение
"Взломали сервер"

Отправлено sashachaos , 04-Фев-07 17:21 
Добрый день!
Взломали сервер арендованный в US.
Что можете посоветовать?
Хакеры изменили конфиг апача и перенесли его.
На серваке стоит:
squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D
Объясните мне тупому можно ли через открытые прокси через squid посылать email извне? т.к. пришел абуз от spamcop.net, что с сервака 60 000 писем ушло и положило сервак какой-то!

мне кажется, что на серваке есть троян, который
переодически меняет конфиг апача и возможно еще делает что-то
По совету запустил chkrootkit:
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not found
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for HKRK rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... You have 4 process hidden for readdir command
You have 7 process hidden for ps command
chkproc: Warning: Possible LKM Trojan installed
Checking `rexedcs'... not found
Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... chkutmp: nothing deleted

Ругается на Possible LKM Trojan installed
Но вроде я посмотрел ничего такого в скрытых пакетах нет, ядро 2.6
auditd 1673
/usr/sbin/kernel@-f@/etc/kernel_config
/usr/sbin/named
usr/sbin/kernel-f/etc/kernel_config
/usr/sbin/kernel-f/etc/kernel_config
RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так и не понял


OS Fedora Core 4
Просьба не смеятся над ламерами админами, а помочь, кто сможет
Прочитал в соседней теме, что могут ломануть через ssl и ssh, но я к сожалению ничего не понимаю в этом как понять что через это ломанули(

Заранее спасибо за ответ!


Содержание

Сообщения в этом обсуждении
"Взломали сервер"
Отправлено exn , 04-Фев-07 19:46 
Главное вовремя спохватиццо, попробуй отследить откуда что идет, хужеж небудет, не паникуй

"Взломали сервер"
Отправлено Dmitry , 04-Фев-07 20:46 
> chkproc: Warning: Possible LKM Trojan installed

Это говорит о том, что какая-то программа запустила несколько скрытых процессов. Напрмер, это делает Mozilla. chrootkit ругается на это во многих только что установленных дистрибутивах.
Сам проверял только что установленный AltLinux Master 2.4 и chrootkit ругался на это


"Взломали сервер"
Отправлено bass , 05-Фев-07 12:23 
>Добрый день!
>Взломали сервер арендованный в US.

Сменить хостера на поближе, если вы сам не оттуда

>Что можете посоветовать?
>Хакеры изменили конфиг апача и перенесли его.
>На серваке стоит:
>squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D

вот с этого момента: зачем на арендованном серваке у вас squid?


>
>Объясните мне тупому можно ли через открытые прокси через squid посылать email
>извне? т.к. пришел абуз от spamcop.net, что с сервака 60 000
>писем ушло и положило сервак какой-то!

сквид не сквид, но прокси бывают разные - можно через socks и сквид плагины.

>
>мне кажется, что на серваке есть троян, который
>переодически меняет конфиг апача и возможно еще делает что-то

Кажется, это лишь догадки. Так что именно делает сервак арендованный в УС?

>По совету запустил chkrootkit:

вот здесь нужно постить только то, что infected :)
>Checking `amd'... not found
--skip--

>Ругается на Possible LKM Trojan installed
>Но вроде я посмотрел ничего такого в скрытых пакетах нет, ядро 2.6

это фигня, загляните по какому признаку он так думает и снесите его никогда не запуская больше.

>
>auditd 1673
>/usr/sbin/kernel@-f@/etc/kernel_config
>/usr/sbin/named
>usr/sbin/kernel-f/etc/kernel_config
>/usr/sbin/kernel-f/etc/kernel_config
>RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так
>и не понял

RedHate Edge Tech holes. Не стоит непатченную шляпу в продакшн ставить


Итак что вам нужно сделать сначала:
Выяснить какие-именно вам нужны процессы и все остальные остановить, удалив заодно их пакеты.
Систему обновить.
Ядро поставить с kernel.org и шляпное больше не юзать (если у вас не oracle)
Все логи перенаправить себе.
Закрутить гайки в файрволе.
Заменить openssh на ssh2 от ssh.com и сменить порт.
Занести apache2 (именно 2, обновить если не так) в чрут с ежечасной сверкой md5sum на статический контент и конфигов. С провалом сверки, простая перезапись с внешнего источника и алерт (впрочем логи вы уже себе перенаправили).
Ещё раз критично осмотреть процессы и лишние файлы по всей системе.

Что сделать после этого:
Перечитать apache secure methods.
Перепроверить _все_ самописные скрипты и _все_ скрипты для вашего www. По возможности отказаться от php.
Подумать о смысле redhat в продакшене и потом освоить собственную сборку rpm критичных библиотек и приложений с оригинальных источников.
Уяснить раз и навсегда смысл selinux и настроить с макс. параноидальностью.
Настроить алерты в коллекторе логов.
Попить пиво за элементарную работу которую сразу нужно было сделать после установки системы.
Попивая пиво доделать мелочи безопасности.



"Взломали сервер"
Отправлено sashachaos , 16-Фев-07 00:18 
Огромное спасибо за ответ, очень много полезной информации!
Я за это время тоже многое накопал!
Итак сервак не принадлежит мне, и я к сожалению только учусь администрировать!
Хозяину некогда и по фигу, поэтому наверное сервак легко и взломали!
Сервак действительно нужен в US, т.к. там размещается большое количество сайтов!
Я занимаюсь данным серваком, т.к. у меня там расположен сайт и просто интересно, в качестве обучения!


>>На серваке стоит:
>>squid 1942 2.5 8.6 111420 87812 ? S 2006 2925:24 (squid) -D
Сквид оказывается нужен хозяину, я его временно убил
Однако спам как шел:( так и идет!

>>RH-Sharpe's default files... Possible RH-Sharpe's rootkit installed Что вот это такое так
>>и не понял
>
>RedHate Edge Tech holes. Не стоит непатченную шляпу в продакшн ставить

Итак руткитхантер находит троян по бинарнику /usr/bin/wp  в процессах и в скрытых я такого не нашел! Как снести его не знаю!
Бинарник переименовал, систему перегрузил, запустилась))
Систему обновил! также обнаружил, что что-то делали с openssl и Gnupg Т.к. контрольные суммы не совпадают!


>
>Итак что вам нужно сделать сначала:
>Выяснить какие-именно вам нужны процессы и все остальные остановить, удалив заодно их
>пакеты.
Вроде сделал
>Систему обновить.
Сделал
>Ядро поставить с kernel.org и шляпное больше не юзать (если у вас
>не oracle)
Вот с этим сложно, как я соберу ядро нешляпное на удаленном сервере?

>Закрутить гайки в файрволе.
Уметь бы это:(
>Заменить openssh на ssh2 от ssh.com и сменить порт.
На удаленном сервере опять же сложно сделать
>Занести apache2 (именно 2, обновить если не так) в чрут с ежечасной
>сверкой md5sum на статический контент и конфигов. С провалом сверки, простая
>перезапись с внешнего источника и алерт (впрочем логи вы уже себе
>перенаправили).
https://www.opennet.ru/base/sec/apache2_chroot.txt.html
Читаю и пытаюсь сделать) модулей действительно очень много подгружено в апаче(

>Подумать о смысле redhat в продакшене и потом освоить собственную сборку rpm
>критичных библиотек и приложений с оригинальных источников.
А какую бы вы систему посоветовали? Я все время сидел на Slackware) просто и удобно) Федора более навороченная

>Уяснить раз и навсегда смысл selinux и настроить с макс. параноидальностью.
С ним мне еще нужно разбираться:((
И опять же как настроить его на удаленном сервере!

А вот пиво пить пока рано:) еще работы много
спасибо:-)


"Взломали сервер"
Отправлено sashachaos , 16-Фев-07 23:45 
Итак я попробовал обнаружить файлы, которые были созданы(изменены) во время взлома, также как и файл /usr/bin/wp
И многие я удалил - перименовал,но не могу ничего поделать с файлами:
/bin/netstat
/bin/ps
/bin/socklist
/usr/bin/chsh
Система запрещает что-то менять! но ведь как-то рутки "заразил" эти файлы, как бы мне их
заменить на нормальные?

"Взломали сервер"
Отправлено sashachaos , 17-Фев-07 01:23 
вот еще lsmod, если поможет:

yealink                19777  0
ipv6                  314689  20
autofs4                28361  1
dm_mod                 70673  0
video                  23881  0
button                 12513  0
battery                15561  0
ac                     10313  0
uhci_hcd               41441  0
ehci_hcd               42701  0
shpchp                104393  0
i2c_i801               14677  0
i2c_core               31297  1 i2c_i801
snd_hda_intel          25216  0
snd_hda_codec         110533  1 snd_hda_intel
snd_seq_dummy           8773  0
snd_seq_oss            43301  0
snd_seq_midi_event     13505  1 snd_seq_oss
snd_seq                70553  5 snd_seq_dummy,snd_seq_oss,snd_seq_midi_event
snd_seq_device         15185  3 snd_seq_dummy,snd_seq_oss,snd_seq
snd_pcm_oss            64625  0
snd_mixer_oss          24001  1 snd_pcm_oss
snd_pcm               111305  3 snd_hda_intel,snd_hda_codec,snd_pcm_oss
snd_timer              33481  2 snd_seq,snd_pcm
snd                    74529  9 snd_hda_intel,snd_hda_codec,snd_seq_oss,snd_seq,snd_seq_device,snd_pcm_oss,snd_mixer_oss,snd_pcm,snd_timer
soundcore              16353  1 snd
snd_page_alloc         17745  2 snd_hda_intel,snd_pcm
e100                   47937  0
mii                    10561  1 e100
floppy                 79065  0
ext3                  151633  4
jbd                    71400  1 ext3
ata_piix               15301  5
libata                 59857  1 ata_piix
sd_mod                 24513  6
scsi_mod              167929  2 libata,sd_mod


"Взломали сервер"
Отправлено Junior , 17-Фев-07 15:42 
У тебя там что - музыкальная станция запущена на СЕРВЕРЕ?

  ps axef
  ps axuv

Этого должно хватить посмотреть что откуда запускается
и откуда подгружается.

  lsof -i

Ну и netstat посмотри что выдаёт. Утилиту ps лучше поставь снова из
проверенного источника, а лучше скомпилируй там же и запусти указав абсолютный путь
к новому ps.


"Взломали сервер"
Отправлено melnik , 21-Фев-07 01:08 
>У тебя там что - музыкальная станция запущена на СЕРВЕРЕ?
>
>  ps axef
>  ps axuv
>
>Этого должно хватить посмотреть что откуда запускается
>и откуда подгружается.
>
>  lsof -i
>
>Ну и netstat посмотри что выдаёт. Утилиту ps лучше поставь снова из
>
>проверенного источника, а лучше скомпилируй там же и запусти указав абсолютный путь
>
>к новому ps.

мой совет - переставить полностью систему, мало чего еще оставили хакера на твоём серваке!!!


"Взломали сервер"
Отправлено none , 22-Дек-09 15:33 
Народ я короче покупал свой лицензионный дёдик покупал потом мне повестка в армию пришла, я решил перестраховаться и дёдик продал, кому я его продал он половину суммы отдал половину не стал возвращать, вот я и решил его наказать и выложил все даннные сервера, билинг панель и все айпи сервера, думаю может кому станет интересно и кто решит взломать дёдик..взранее благодарен..Все данные сервера:


Intel Pentium Dual Core E5300 2 x 2.6 Ghz  2GB DDR2  500GB  SATA 600 UAH  

Билинг панель: https://cp.hosting.ua:443/psoft/servlet/psoft.hsphere.CP

Логин: skull
Пароль: 21262427


Данные для управления сервером:

Main IP : 213.155.18.216

Additional IP: 213.155.18.217 213.155.18.218 213.155.18.219 213.155.18.220 213.155.18.221 213.155.18.222 213.155.18.223
Netmask: 255.255.255.0 Gateway: 213.155.18.254

login: Administrator
password: 2126Qwerty