- RE: что ЭТО???,
 LinaS, 23:02 , 04-Дек-02 (1)>Ребутнул фряху. Вижу сообщения при загрузке на консоль (взято из all.log):
>
>Dec 4 21:03:13 sohost /kernel: Starting local daemons:
>Dec 4 21:03:13 sohost /kernel: vsftpd
>Dec 4 21:03:13 sohost /kernel: popa3d
>-->>> Dec 4 21:03:13 toxahost /kernel: pid 193 (sh), uid 0: exited on signal 11 (core dumped)
>Dec 4 21:03:13 sohost /kernel: Segmentation fault (core dumped)
>Dec 4 21:03:13 sohost /kernel: apache
>Dec 4 21:03:13 sohost /kernel: Dec 4 21:03:13 toxahost /kernel:
>pid 193 (sh), uid 0: exited on signal 11 (core dumped)
>
>Dec 4 21:03:13 sohost /kernel: scanlogd
>
>В messages:
>
>Dec 4 21:03:13 sohost /kernel: pid 193 (sh), uid 0: exited
>on signal 11 (core dumped)
>
>Из всех сервисов в итоге не запустился только апач (все они по
>скрипту rc.local грузятся). Но имхо причина не он - ведь
>судя по мессагам, шелл с нулевым уидом упал в корку!
>
>Возникает мысль что неопытный взломщик добавил куда-то в автостарт /bin/sh под рутом,
>но файрволлом закрыты ВСЕ входящие, кроме 80 (апач 1.3.27, вебсервер, фря
>4.7-релиз), а все исходящие - keep state (внутри сети через нат
>в инете сидят клиенты).
> Вот мой конфиг заодно:
>
>ed0 - смотрит в инет
>rl0 - в локалку
>
>add 100 divert natd all from any to any via ed0
>add 110 count ip from any to any in via ed0
>add 120 count ip from any to any out via ed0
>add 130 count ip from any to any in via rl0
>add 140 count ip from any to any out via rl0
>add 200 pass udp from any to any 53 via ed0 keep-state
>
>add 220 pass udp from any 53 to any via ed0
>add 300 pass all from any to any via rl0
>add 400 pass all from any to any via lo0
>add 500 pass tcp from any to any out xmit ed0 setup
>
>add 600 pass tcp from any to any via ed0 established
>add 700 reset log tcp from any to any 113 in recv
>ed0
>add 800 deny log ip from any to any frag
>add 900 deny icmp from any to any in via ed0 icmptypes
>8
>add 1000 pass icmp from any to any
>add 1100 pass ip from any to any 80 via ed0
>
>вопрос - что ЭТО ЗА СООБЕНИЕ такое, хакнули меня или нет? :)
>что в rc.local?
что в /usr/local/etc/rc.d?
- RE: что ЭТО???, lavr, 10:36 , 05-Дек-02 (2)
>>Ребутнул фряху. Вижу сообщения при загрузке на консоль (взято из all.log):
>>
>>Dec 4 21:03:13 sohost /kernel: Starting local daemons:
>>Dec 4 21:03:13 sohost /kernel: vsftpd
>>Dec 4 21:03:13 sohost /kernel: popa3d
>>-->>> Dec 4 21:03:13 toxahost /kernel: pid 193 (sh), uid 0: exited on signal 11 (core dumped)
>>Dec 4 21:03:13 sohost /kernel: Segmentation fault (core dumped)
>>Dec 4 21:03:13 sohost /kernel: apache
>>Dec 4 21:03:13 sohost /kernel: Dec 4 21:03:13 toxahost /kernel:
>>pid 193 (sh), uid 0: exited on signal 11 (core dumped)
>>
>>Dec 4 21:03:13 sohost /kernel: scanlogd
>>
>>В messages:
>>
>>Dec 4 21:03:13 sohost /kernel: pid 193 (sh), uid 0: exited
>>on signal 11 (core dumped)
>>
>>Из всех сервисов в итоге не запустился только апач (все они по
>>скрипту rc.local грузятся). Но имхо причина не он - ведь
>>судя по мессагам, шелл с нулевым уидом упал в корку!
>>
>>Возникает мысль что неопытный взломщик добавил куда-то в автостарт /bin/sh под рутом,
>>но файрволлом закрыты ВСЕ входящие, кроме 80 (апач 1.3.27, вебсервер, фря
>>4.7-релиз), а все исходящие - keep state (внутри сети через нат
>>в инете сидят клиенты).
>> Вот мой конфиг заодно:
>>
>>ed0 - смотрит в инет
>>rl0 - в локалку
>>
>>add 100 divert natd all from any to any via ed0
>>add 110 count ip from any to any in via ed0
>>add 120 count ip from any to any out via ed0
>>add 130 count ip from any to any in via rl0
>>add 140 count ip from any to any out via rl0
>>add 200 pass udp from any to any 53 via ed0 keep-state
>>
>>add 220 pass udp from any 53 to any via ed0
>>add 300 pass all from any to any via rl0
>>add 400 pass all from any to any via lo0
>>add 500 pass tcp from any to any out xmit ed0 setup
>>
>>add 600 pass tcp from any to any via ed0 established
>>add 700 reset log tcp from any to any 113 in recv
>>ed0
>>add 800 deny log ip from any to any frag
>>add 900 deny icmp from any to any in via ed0 icmptypes
>>8
>>add 1000 pass icmp from any to any
>>add 1100 pass ip from any to any 80 via ed0
>>
>>вопрос - что ЭТО ЗА СООБЕНИЕ такое, хакнули меня или нет? :)
>>
>
>что в rc.local?
>что в /usr/local/etc/rc.d?
как вариант RAM накернился :(
- Я думаю это было ВОТ ЧТО, ank, 19:57 , 05-Дек-02 (3)
Кому интересно, повествую что было далее.
Но сначала скажу - в rc.local, в rc.d/ и т.п. все ок - проверил, ничего не изменилось.
Итак, после вот этих вот сообщений запустил я две программы - самодельную, проверяющую md5-суммы критичных файлов, и - от нечего делать - собрал линуксовую chkrootkit. Первая (моя) сказала что все ок, а вот вторая.... в процессе ее работы система выплюнула kernel emerg и сказала, что она щас собирается ребутнуться (аки винда!).
Перезагрузились, в процессе ребута система, как обычно после сбоев, пустила fsck, загрузилась уже без каких-либо ошибок.
Я еще раз все проверил, все скрипты, все суидные проги (не появилось ли лишних) - все нормально. как бы и забыл о сбое, но неприятный осадок остался (неужто меня, параноика, могли хакнуть? в таком случае пора повеситься на патч-корде).
На следующий день (сегодня утром) решил, что пора этому вебсерверу перейти с апача 1.2.х на 2.х, благо здесь статейку подкинули на тему его установки. Да, надо сказать, что сижу я на машине через ssh, сам монитор сервера выключен, и включил я его только в момент сбоя). Итак, ставлю, configure, make..... И тут система виснет (в смысле - ssh-клиент умирает), я бегу к серверу - точно, снова ребутится! Кошмар!
И только после этой второйц перезагрузки я догадался ввести команду df.....
Раздел / был заполнен на 110%.......
Чем я умудирился его забить, если у меня /tmp, /usr и /var на других партишнах - ума не приложу.
Очевидно, сообщений бедной системы о том что места на корневой системе мало, я не видел - они пищутся на /dev/console, а я-то сижу на ttyP0 по ssh....
Ок, удалил каталог апача, занятость системы стала 91%. Уже легче. Оставил систему как есть.
Отвлекся от нее... вечером подошел, включил монитор, набрал df снова - опа, а уже 63% занято, то есть учитывая что у меня / 150 мб, она куда-то 30 "отъела", а потом "вернула".
Глюк-с.А о корке sh я думаю, что просто при загрузке, при парсинге rc.local, sh упал и так как последним в списке был апач (грузится из rc.local), то он и не запустился.
Как думаете, реально при переполненной партиции / такие глюки ловить? (ребут, выпадение sh в корку, самовольное занятие системой 30-ти мегов и затем их освобождение)?
- RE: Я думаю это было ВОТ ЧТО, ank, 20:01 , 05-Дек-02 (4)
уточню - под фразой "удалил каталог апача" имею в виду то что апач 2.х собирался в /root/tmp/, и я удалил папку с сорцами, т.к. она стала каплей переполнившей чашу.
- RE: Я думаю это было ВОТ ЧТО, lavr, 11:56 , 06-Дек-02 (5)
>Кому интересно, повествую что было далее.
>Но сначала скажу - в rc.local, в rc.d/ и т.п. все ок
>- проверил, ничего не изменилось.
>Итак, после вот этих вот сообщений запустил я две программы - самодельную,
>проверяющую md5-суммы критичных файлов, и - от нечего делать - собрал
>линуксовую chkrootkit. Первая (моя) сказала что все ок, а вот вторая....
>в процессе ее работы система выплюнула kernel emerg и сказала, что
>она щас собирается ребутнуться (аки винда!).
>Перезагрузились, в процессе ребута система, как обычно после сбоев, пустила fsck, загрузилась
>уже без каких-либо ошибок.
>Я еще раз все проверил, все скрипты, все суидные проги (не появилось
>ли лишних) - все нормально. как бы и забыл о сбое,
>но неприятный осадок остался (неужто меня, параноика, могли хакнуть? в таком
>случае пора повеситься на патч-корде).
>На следующий день (сегодня утром) решил, что пора этому вебсерверу перейти с
>апача 1.2.х на 2.х, благо здесь статейку подкинули на тему его
>установки. Да, надо сказать, что сижу я на машине через ssh,
>сам монитор сервера выключен, и включил я его только в момент
>сбоя). Итак, ставлю, configure, make..... И тут система виснет (в смысле
>- ssh-клиент умирает), я бегу к серверу - точно, снова ребутится!
>Кошмар!
>И только после этой второйц перезагрузки я догадался ввести команду df.....
>Раздел / был заполнен на 110%.......
>Чем я умудирился его забить, если у меня /tmp, /usr и /var
>на других партишнах - ума не приложу.
>Очевидно, сообщений бедной системы о том что места на корневой системе мало,
>я не видел - они пищутся на /dev/console, а я-то сижу
>на ttyP0 по ssh....
>Ок, удалил каталог апача, занятость системы стала 91%. Уже легче. Оставил систему
>как есть.
>Отвлекся от нее... вечером подошел, включил монитор, набрал df снова - опа,
>а уже 63% занято, то есть учитывая что у меня /
>150 мб, она куда-то 30 "отъела", а потом "вернула".
>Глюк-с.
>
>А о корке sh я думаю, что просто при загрузке, при
>парсинге rc.local, sh упал и так как последним в списке был
>апач (грузится из rc.local), то он и не запустился.
>Как думаете, реально при переполненной партиции / такие глюки ловить? (ребут, выпадение
>sh в корку, самовольное занятие системой 30-ти мегов и затем их
>освобождение)? печально, root нормально работает до ~94% занятости, потом идут
сообщения от ядра и забивают логи. Если /tmp на root-fs - печально,
много что будет вываливать в корку потому как использует /tmp
который можно переопределить. Но ситуация стремная, не нравится, я бы
пропатчился и пересобрал бы ВСЮ систему и ядро. PS. Неужели неизвестный хак для FreeBSD!? :((( - RE: Я думаю это было ВОТ ЧТО, boykov, 17:12 , 06-Дек-02 (6)
>Ок, удалил каталог апача, занятость системы стала 91%. Уже легче. Оставил систему
>как есть.
>Отвлекся от нее... вечером подошел, включил монитор, набрал df снова - опа,
>а уже 63% занято, то есть учитывая что у меня /
>150 мб, она куда-то 30 "отъела", а потом "вернула".
>Глюк-с.
А не softupdates? Уж оченно на него похоже. Правда, на / его не должно быть.
- RE: Я думаю это было ВОТ ЧТО, lavr, 17:25 , 06-Дек-02 (7)
>>Ок, удалил каталог апача, занятость системы стала 91%. Уже легче. Оставил систему
>>как есть.
>>Отвлекся от нее... вечером подошел, включил монитор, набрал df снова - опа,
>>а уже 63% занято, то есть учитывая что у меня /
>>150 мб, она куда-то 30 "отъела", а потом "вернула".
>>Глюк-с.
>А не softupdates? Уж оченно на него похоже. Правда, на / его
>не должно быть. ну вобщем думающий человек не будет на root-fs делать softupdates
- RE: Я думаю это было ВОТ ЧТО, ank, 20:19 , 06-Дек-02 (8)
1. /tmp отдельным партишном
2. софтапдейта на корневом партишне нету
3. 4.7-RELEASE однако, а такие вот шутки шутитПока, прошло два дня, система стоит. Может быть, переставлю, если еще будут инциденты. Если будут - сообщу.
|
Версия для распечатки
что ЭТО???, 
