- RE: что ЭТО???, LinaS, 23:02 , 04-Дек-02 (1)
>Ребутнул фряху. Вижу сообщения при загрузке на консоль (взято из all.log): > >Dec 4 21:03:13 sohost /kernel: Starting local daemons: >Dec 4 21:03:13 sohost /kernel: vsftpd >Dec 4 21:03:13 sohost /kernel: popa3d >-->>> Dec 4 21:03:13 toxahost /kernel: pid 193 (sh), uid 0: exited on signal 11 (core dumped) >Dec 4 21:03:13 sohost /kernel: Segmentation fault (core dumped) >Dec 4 21:03:13 sohost /kernel: apache >Dec 4 21:03:13 sohost /kernel: Dec 4 21:03:13 toxahost /kernel: >pid 193 (sh), uid 0: exited on signal 11 (core dumped) > >Dec 4 21:03:13 sohost /kernel: scanlogd > >В messages: > >Dec 4 21:03:13 sohost /kernel: pid 193 (sh), uid 0: exited >on signal 11 (core dumped) > >Из всех сервисов в итоге не запустился только апач (все они по >скрипту rc.local грузятся). Но имхо причина не он - ведь >судя по мессагам, шелл с нулевым уидом упал в корку! > >Возникает мысль что неопытный взломщик добавил куда-то в автостарт /bin/sh под рутом, >но файрволлом закрыты ВСЕ входящие, кроме 80 (апач 1.3.27, вебсервер, фря >4.7-релиз), а все исходящие - keep state (внутри сети через нат >в инете сидят клиенты). > Вот мой конфиг заодно: > >ed0 - смотрит в инет >rl0 - в локалку > >add 100 divert natd all from any to any via ed0 >add 110 count ip from any to any in via ed0 >add 120 count ip from any to any out via ed0 >add 130 count ip from any to any in via rl0 >add 140 count ip from any to any out via rl0 >add 200 pass udp from any to any 53 via ed0 keep-state > >add 220 pass udp from any 53 to any via ed0 >add 300 pass all from any to any via rl0 >add 400 pass all from any to any via lo0 >add 500 pass tcp from any to any out xmit ed0 setup > >add 600 pass tcp from any to any via ed0 established >add 700 reset log tcp from any to any 113 in recv >ed0 >add 800 deny log ip from any to any frag >add 900 deny icmp from any to any in via ed0 icmptypes >8 >add 1000 pass icmp from any to any >add 1100 pass ip from any to any 80 via ed0 > >вопрос - что ЭТО ЗА СООБЕНИЕ такое, хакнули меня или нет? :) >что в rc.local? что в /usr/local/etc/rc.d?
- RE: что ЭТО???, lavr, 10:36 , 05-Дек-02 (2)
>>Ребутнул фряху. Вижу сообщения при загрузке на консоль (взято из all.log): >> >>Dec 4 21:03:13 sohost /kernel: Starting local daemons: >>Dec 4 21:03:13 sohost /kernel: vsftpd >>Dec 4 21:03:13 sohost /kernel: popa3d >>-->>> Dec 4 21:03:13 toxahost /kernel: pid 193 (sh), uid 0: exited on signal 11 (core dumped) >>Dec 4 21:03:13 sohost /kernel: Segmentation fault (core dumped) >>Dec 4 21:03:13 sohost /kernel: apache >>Dec 4 21:03:13 sohost /kernel: Dec 4 21:03:13 toxahost /kernel: >>pid 193 (sh), uid 0: exited on signal 11 (core dumped) >> >>Dec 4 21:03:13 sohost /kernel: scanlogd >> >>В messages: >> >>Dec 4 21:03:13 sohost /kernel: pid 193 (sh), uid 0: exited >>on signal 11 (core dumped) >> >>Из всех сервисов в итоге не запустился только апач (все они по >>скрипту rc.local грузятся). Но имхо причина не он - ведь >>судя по мессагам, шелл с нулевым уидом упал в корку! >> >>Возникает мысль что неопытный взломщик добавил куда-то в автостарт /bin/sh под рутом, >>но файрволлом закрыты ВСЕ входящие, кроме 80 (апач 1.3.27, вебсервер, фря >>4.7-релиз), а все исходящие - keep state (внутри сети через нат >>в инете сидят клиенты). >> Вот мой конфиг заодно: >> >>ed0 - смотрит в инет >>rl0 - в локалку >> >>add 100 divert natd all from any to any via ed0 >>add 110 count ip from any to any in via ed0 >>add 120 count ip from any to any out via ed0 >>add 130 count ip from any to any in via rl0 >>add 140 count ip from any to any out via rl0 >>add 200 pass udp from any to any 53 via ed0 keep-state >> >>add 220 pass udp from any 53 to any via ed0 >>add 300 pass all from any to any via rl0 >>add 400 pass all from any to any via lo0 >>add 500 pass tcp from any to any out xmit ed0 setup >> >>add 600 pass tcp from any to any via ed0 established >>add 700 reset log tcp from any to any 113 in recv >>ed0 >>add 800 deny log ip from any to any frag >>add 900 deny icmp from any to any in via ed0 icmptypes >>8 >>add 1000 pass icmp from any to any >>add 1100 pass ip from any to any 80 via ed0 >> >>вопрос - что ЭТО ЗА СООБЕНИЕ такое, хакнули меня или нет? :) >> > >что в rc.local? >что в /usr/local/etc/rc.d? как вариант RAM накернился :(
- Я думаю это было ВОТ ЧТО, ank, 19:57 , 05-Дек-02 (3)
Кому интересно, повествую что было далее. Но сначала скажу - в rc.local, в rc.d/ и т.п. все ок - проверил, ничего не изменилось. Итак, после вот этих вот сообщений запустил я две программы - самодельную, проверяющую md5-суммы критичных файлов, и - от нечего делать - собрал линуксовую chkrootkit. Первая (моя) сказала что все ок, а вот вторая.... в процессе ее работы система выплюнула kernel emerg и сказала, что она щас собирается ребутнуться (аки винда!). Перезагрузились, в процессе ребута система, как обычно после сбоев, пустила fsck, загрузилась уже без каких-либо ошибок. Я еще раз все проверил, все скрипты, все суидные проги (не появилось ли лишних) - все нормально. как бы и забыл о сбое, но неприятный осадок остался (неужто меня, параноика, могли хакнуть? в таком случае пора повеситься на патч-корде). На следующий день (сегодня утром) решил, что пора этому вебсерверу перейти с апача 1.2.х на 2.х, благо здесь статейку подкинули на тему его установки. Да, надо сказать, что сижу я на машине через ssh, сам монитор сервера выключен, и включил я его только в момент сбоя). Итак, ставлю, configure, make..... И тут система виснет (в смысле - ssh-клиент умирает), я бегу к серверу - точно, снова ребутится! Кошмар! И только после этой второйц перезагрузки я догадался ввести команду df..... Раздел / был заполнен на 110%....... Чем я умудирился его забить, если у меня /tmp, /usr и /var на других партишнах - ума не приложу. Очевидно, сообщений бедной системы о том что места на корневой системе мало, я не видел - они пищутся на /dev/console, а я-то сижу на ttyP0 по ssh.... Ок, удалил каталог апача, занятость системы стала 91%. Уже легче. Оставил систему как есть. Отвлекся от нее... вечером подошел, включил монитор, набрал df снова - опа, а уже 63% занято, то есть учитывая что у меня / 150 мб, она куда-то 30 "отъела", а потом "вернула". Глюк-с.А о корке sh я думаю, что просто при загрузке, при парсинге rc.local, sh упал и так как последним в списке был апач (грузится из rc.local), то он и не запустился. Как думаете, реально при переполненной партиции / такие глюки ловить? (ребут, выпадение sh в корку, самовольное занятие системой 30-ти мегов и затем их освобождение)?
- RE: Я думаю это было ВОТ ЧТО, ank, 20:01 , 05-Дек-02 (4)
уточню - под фразой "удалил каталог апача" имею в виду то что апач 2.х собирался в /root/tmp/, и я удалил папку с сорцами, т.к. она стала каплей переполнившей чашу.
- RE: Я думаю это было ВОТ ЧТО, lavr, 11:56 , 06-Дек-02 (5)
>Кому интересно, повествую что было далее. >Но сначала скажу - в rc.local, в rc.d/ и т.п. все ок >- проверил, ничего не изменилось. >Итак, после вот этих вот сообщений запустил я две программы - самодельную, >проверяющую md5-суммы критичных файлов, и - от нечего делать - собрал >линуксовую chkrootkit. Первая (моя) сказала что все ок, а вот вторая.... >в процессе ее работы система выплюнула kernel emerg и сказала, что >она щас собирается ребутнуться (аки винда!). >Перезагрузились, в процессе ребута система, как обычно после сбоев, пустила fsck, загрузилась >уже без каких-либо ошибок. >Я еще раз все проверил, все скрипты, все суидные проги (не появилось >ли лишних) - все нормально. как бы и забыл о сбое, >но неприятный осадок остался (неужто меня, параноика, могли хакнуть? в таком >случае пора повеситься на патч-корде). >На следующий день (сегодня утром) решил, что пора этому вебсерверу перейти с >апача 1.2.х на 2.х, благо здесь статейку подкинули на тему его >установки. Да, надо сказать, что сижу я на машине через ssh, >сам монитор сервера выключен, и включил я его только в момент >сбоя). Итак, ставлю, configure, make..... И тут система виснет (в смысле >- ssh-клиент умирает), я бегу к серверу - точно, снова ребутится! >Кошмар! >И только после этой второйц перезагрузки я догадался ввести команду df..... >Раздел / был заполнен на 110%....... >Чем я умудирился его забить, если у меня /tmp, /usr и /var >на других партишнах - ума не приложу. >Очевидно, сообщений бедной системы о том что места на корневой системе мало, >я не видел - они пищутся на /dev/console, а я-то сижу >на ttyP0 по ssh.... >Ок, удалил каталог апача, занятость системы стала 91%. Уже легче. Оставил систему >как есть. >Отвлекся от нее... вечером подошел, включил монитор, набрал df снова - опа, >а уже 63% занято, то есть учитывая что у меня / >150 мб, она куда-то 30 "отъела", а потом "вернула". >Глюк-с. > >А о корке sh я думаю, что просто при загрузке, при >парсинге rc.local, sh упал и так как последним в списке был >апач (грузится из rc.local), то он и не запустился. >Как думаете, реально при переполненной партиции / такие глюки ловить? (ребут, выпадение >sh в корку, самовольное занятие системой 30-ти мегов и затем их >освобождение)? печально, root нормально работает до ~94% занятости, потом идут сообщения от ядра и забивают логи. Если /tmp на root-fs - печально, много что будет вываливать в корку потому как использует /tmp который можно переопределить. Но ситуация стремная, не нравится, я бы пропатчился и пересобрал бы ВСЮ систему и ядро. PS. Неужели неизвестный хак для FreeBSD!? :((( - RE: Я думаю это было ВОТ ЧТО, boykov, 17:12 , 06-Дек-02 (6)
>Ок, удалил каталог апача, занятость системы стала 91%. Уже легче. Оставил систему >как есть. >Отвлекся от нее... вечером подошел, включил монитор, набрал df снова - опа, >а уже 63% занято, то есть учитывая что у меня / >150 мб, она куда-то 30 "отъела", а потом "вернула". >Глюк-с. А не softupdates? Уж оченно на него похоже. Правда, на / его не должно быть.
- RE: Я думаю это было ВОТ ЧТО, lavr, 17:25 , 06-Дек-02 (7)
>>Ок, удалил каталог апача, занятость системы стала 91%. Уже легче. Оставил систему >>как есть. >>Отвлекся от нее... вечером подошел, включил монитор, набрал df снова - опа, >>а уже 63% занято, то есть учитывая что у меня / >>150 мб, она куда-то 30 "отъела", а потом "вернула". >>Глюк-с. >А не softupdates? Уж оченно на него похоже. Правда, на / его >не должно быть. ну вобщем думающий человек не будет на root-fs делать softupdates
- RE: Я думаю это было ВОТ ЧТО, ank, 20:19 , 06-Дек-02 (8)
1. /tmp отдельным партишном 2. софтапдейта на корневом партишне нету 3. 4.7-RELEASE однако, а такие вот шутки шутитПока, прошло два дня, система стоит. Может быть, переставлю, если еще будут инциденты. Если будут - сообщу.
|