Ж-(

Oleg Redut написал(а) к All в Dec 14 12:06:10 по местному времени:

Доброе (current) время суток, All!

Сервер на Alt-Linux, где поднят httpd2 и ftp, внезапно стал грузить роутер исходящими сессиями, доходит до 650+. Автообновление отключено. Какой-то инфекции на web-страничках не обнаружил.
Чекм можно посмотреть, кто плодит сессии? Инет подсказывает netstat - такого в /bin не обнаружил. Остальное показывает только порты, но не сессии.

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MINGW 1.1.5-b20120515 (пока работает)

Alexey Vissarionov написал(а) к Oleg Redut в Dec 14 10:12:02 по местному времени:

Доброго времени суток, Oleg!
29 Dec 2014 12:06:10, ты -> All:

OR> Сервер на Alt-Linux, где поднят httpd2

Как он настроен и что там работает?

OR> и ftp,

Надеюсь, там разрешен только анонимный доступ?

OR> внезапно стал грузить роутер исходящими сессиями, доходит до 650+.

Добро пожаловать в ботнет.

OR> Автообновление отключено.

Кстати, зря. Рекомендую регулярно обновляться хотя бы вручную.

OR> Какой-то инфекции на web-страничках не обнаружил.

С вероятностью 99% - плохо искал.

OR> Чекм можно посмотреть, кто плодит сессии?

gremlin@evil:~ > rpm -qf `which trafshow`
trafshow-5.2.3-alt2

OR> Инет подсказывает netstat - такого в /bin не обнаружил.

gremlin@evil:~ > rpm -qf `which netstat`
net-tools-1.60-alt18

Хорош тем, что показывает не только соединения, но и их владельцев (процессы).

OR> Остальное показывает только порты, но не сессии.

Остальное - это что?

Ну и самый главный вопрос: а какого рожна у тебя пользователю, под которым работает сайт, разрешены исходящие соединения?


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-cmlxxvii-mmxlviii

... Сервер под Windows - как Запорожец представительского класса
--- /bin/vi

Oleg Redut написал(а) к Alexey Vissarionov в Dec 14 15:23:42 по местному времени:

Доброе (current) время суток, Alexey!

OR>> и ftp,

AV> Надеюсь, там разрешен только анонимный доступ?

Только на чтение. Папка incoming на запись без права запуска.

OR>> внезапно стал грузить роутер исходящими сессиями, доходит до
OR>> 650+.

AV> Добро пожаловать в ботнет.

OR>> Автообновление отключено.

AV> Кстати, зря. Рекомендую регулярно обновляться хотя бы вручную.

OR>> Какой-то инфекции на web-страничках не обнаружил.

AV> С вероятностью 99% - плохо искал.

Вообще нет новых/изменённых файлов за последий год. Не думаю, что могут/будут и дату менять на исходную.

OR>> Чекм можно посмотреть, кто плодит сессии?

AV> gremlin@evil:~ > rpm -qf `which trafshow`
AV> trafshow-5.2.3-alt2

[root@web /]# rpm -qf `which netstat` trafshow-5.2.3-alt2
which: no netstat in (/home/super/bin:/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin:/usr/games)
ошибка: файл trafshow-5.2.3-alt2: Нет такого файла или каталога

OR>> Инет подсказывает netstat - такого в /bin не обнаружил.

AV> gremlin@evil:~ > rpm -qf `which netstat`
AV> net-tools-1.60-alt18

[root@web /]# apt-get install net-tools-1.60-alt18
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
E: Невозможно найти пакет net-tools-1.60-alt18


AV> Хорош тем, что показывает не только соединения, но и их владельцев
AV> (процессы).

OR>> Остальное показывает только порты, но не сессии.

AV> Остальное - это что?

lsof -ai
net status session
nmap -PO -p 1-65505 192.168.1.220

AV> Ну и самый главный вопрос: а какого рожна у тебя пользователю, под
AV> которым работает сайт, разрешены исходящие соединения?

Я вовсе не уверен, что это именно сайт.

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MINGW 1.1.5-b20120515 (пока работает)

Michael Dukelsky написал(а) к Oleg Redut в Dec 14 17:21:40 по местному времени:

Привет, Oleg!

29 Dec 14 15:23, Oleg Redut послал(а) письмо к Alexey Vissarionov:

OR> Вообще нет новых/изменённых файлов за последий год. Не думаю, что
OR> могут/будут и дату менять на исходную.

Оставить то же время файла при его изменении - раз плюнуть.

cat ~/bin/edit
#!/bin/sh
cp -a $1 $1.bakk
mcedit $1
touch -r $1.bakk $1
rm -f $1.bakk

Поэтому надо считать контрольные суммы файлов. Для этого есть, например, ossec.

Желаю успехов, Oleg!
За сим откланиваюсь, Michael.

... dukelsky (at) aha (dot) ru
--- GoldED+/LNX 1.1.5-b20100314

Vitaly Zaitsev написал(а) к Oleg Redut в Dec 14 19:33:06 по местному времени:

Здpавствуй, Oleg!

Понедельник 29 Декабря 2014 12:06, ты писал(а) All:

OR> Автообновление отключено.

Обновись вручную и как можно скорее. Серверы следует обновлять регулярно, иначе быстро через дыру превратят в часть ботнета.

OR> Какой-то инфекции на web-страничках не обнаружил.

Оно ему и не требуется. Наверняка через дыру залили шелл, затем загрузили в какой-нибудь временный каталог бинарник и отправили на исполнение.

Надеюсь, у тебя на всех временных каталогах и /home стоят флаги noexec?

Первым делом я бы слил все логи на другую машину, затем грохнул всё содержимое временных каталогов и стал искать и убивать подозрительные процессы.

OR> netstat - такого в /bin не обнаружил. Остальное показывает только
OR> порты, но не сессии.

Вывод netstat с именами процессов в студию.

С уважением, Vitaly (zvitaly@easycoding.org)
--- Nothing is safe. Noone is safe.

Vitaly Zaitsev написал(а) к Alexey Vissarionov в Dec 14 19:37:18 по местному времени:

Здpавствуй, Alexey!

Понедельник 29 Декабря 2014 10:12, ты писал(а) Oleg Redut:

AV> Ну и самый главный вопрос: а какого рожна у тебя пользователю, под
AV> которым работает сайт, разрешены исходящие соединения?

Современные движки сайтов и форумов требуют доступа в сеть (дёргают кучу различных API) и без этого либо не работают вовсе, либо в ограниченном режиме.

С уважением, Vitaly (zvitaly@easycoding.org)
--- Nothing is safe. Noone is safe.

Serguei E. Leontiev написал(а) к Oleg Redut в Dec 14 18:43:26 по местному времени:

From: "Serguei E. Leontiev" <leo@sai.msu.ru>

Олег, привет,

Oleg Redut <Oleg.Redut@f111.n5000.z2.fidonet.org> wrote:
> Доброе (current) время суток, Alexey!
>>> и ftp,
>> Надеюсь, там разрешен только анонимный доступ?
> Только на чтение. Папка incoming на запись без права запуска.
>>> внезапно стал грузить роутер исходящими сессиями, доходит до
>>> 650+.

Если активный режим у FTP разрешён, то, если мне не изменяет память, при
чтении он же порождает исходящие вторичные соединения?

--
Успехов, Сергей Леонтьев, <http://www.cryptopro.ru> (NewsTap)
--- ifmail v.2.15dev5.4

Oleg Redut написал(а) к Michael Dukelsky в Dec 14 12:30:24 по местному времени:

Доброе (current) время суток, Michael!

OR>> Вообще нет новых/изменённых файлов за последий год. Не думаю,
OR>> что могут/будут и дату менять на исходную.

MD> Оставить то же время файла при его изменении - раз плюнуть.

MD> cat ~/bin/edit
MD> #!/bin/sh
MD> cp -a $1 $1.bakk
MD> mcedit $1
MD> touch -r $1.bakk $1
MD> rm -f $1.bakk

Ну. Ты это через закинутый через ftp скрипт на php/perl сделай.
Причём изменить время самого этого скрипта, чтобы он не светился, как новый.

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MINGW 1.1.5-b20120515 (пока работает)