nixp.ru v3.0

20 января 2017,
пятница,
19:12:58 MSK

DevOps с компанией «Флант»
Аватар пользователя Toha
Toha написал 14 января 2007 года в 11:00 (1813 просмотра) Ведет себя неопределенно; открыл 23 темы в форуме, оставил 68 комментариев на сайте.

Случилось счастье. Систему взломали. :( Freebsd 5.4 Nat+Apache+php+Mysql+perl+ssh+webmin+ftp.

Система расчитывалась на личное использование и никаких мер по безопасности в приципе не предпринималось (не надо кидать гнилыми помидорами и орать «Ну и лох же ты!» сам понимаю, был не прав).

В итоге с указанной системы (данные на основании ип-адреса) производилась рассылка спама.

В связи с вышеуказанными событиями прошу помочь (самому изучать вопрос досконально нет ни сил, ни времени):

1.Определить тип взлома (использование системы как банальный прокси или рассылка через sendmail, или третий вариант о котором я не подозреваю)

2.Определить взломщика (в смысле ип-адреса. да я знаю что, нужно листать логи, но их слишком много, возможно ли прогнать по поиску?)

3.Как защитить систему? (дельные советы, а не типа «закрыть несипользуемые службы и настроить фаерволл»)

Прошу подсказать список минимально необходимых пакетов для установки данной системы, с фаерволами ниразу не сталкивался. Апач был закрыт htaccess. доступ к wuftpd только по паролю. Вся система ставилась с диска из пакетов.

P.S. Учитывая свою твердолобость и сложность вопроса скорее всего меня пошлют в RTFM…

semka

Поиск по логам это очень просто.

Смотри, тебе нужно посмотреть все айпишники, которые коннектились, скажем к ssh.

cat /var/log/syslog | grep ssh

Это значит, что тебе выдадут только строки, в которых имеется слово ssh, если на ftp — меняешь ssh на ftp ну и так далее.

Могу наврать про имя лога, я меня фрибзд давненько небыло. Тебе виднее, какой из них катать (-:

Советы:

1. Почитать багтрак на свой софт, скачать заплатки, поставить.

2. Ставить хорошие пароли, может тебя банально отбрутфорсили.

3. Не давать сомнительным знакомым ssh аккаунтов (-;

А фаервол и правда лучше настроить.

Feuerbach
Toha
Случилось счастье. Систему взломали. :( Freebsd 5.4 Nat+Apache+php+Mysql+perl+ssh+webmin+ftp.

3.Как защитить систему? (дельные советы, а не типа «закрыть несипользуемые службы и настроить фаерволл»)

Хотелось бы сначала посмотреть логи, исходя из которых сделан вывод о взломе.

Вариант о брутфорсе я опускаю по причине его очевидности…

Рискну предположить, что с очень большой вероятностью взлом был произведен через дырявые скрипты (не просто так ведь php стоит?).

Toha

Далее прошу читать людей исключительно заинтересованных и альтруистичных, готовых помочь делом, а не ссылками на RTFM (читать и изучать нет времени, а сервак нужен). Всем заранее большое спасибо.

Логи по десятку мегабайт. Листать их тут я не рискну.

Дырявые скрипты… Ну если мои то наврядли… Все закрыто htaccess.

Правда стоял phpmyadmin и webmin….

Вот они и могли подвести…

В логах четко прослеживался брутфорс пользователя ssh однако успешного входа я не видел (может подтерто, может просмотрел)

Абсолютно не знаю как конфигурить фаерволл… Можно ли его сконфигурить так чтобы только с определенных ИП был доступ на все, а остальные вообще не видели данного сервака(учитывая что это роутер с NAT)?

Можно ли после 3 неудачных коннектов вносить блокировать Ип-адрес и вносить данные в отдельный лог.

Toha

А еще такой вопрос. Как определить каким образом рассылался спам?

В rc.conf строка sendmail_enable=«NO»

остаются варианты perl или php

Но как в них проникнуть. ведь для этого нужен апач, а он за htaccess…

Или как обычно я чего-то не понимаю.

Сейчас стоит вопрос: Сносить систему и делать все заново или отлаживать существующию?

Учитвая возможность затроянивания склоняюсь к первому варианту.

Toha
Feuerbach
Хотелось бы сначала посмотреть логи, исходя из которых сделан вывод о взломе.

Вариант о брутфорсе я опускаю по причине его очевидности…

Рискну предположить, что с очень большой вероятностью взлом был произведен через дырявые скрипты (не просто так ведь php стоит?).

Вывод о взломе сделан на основе данных о спаме с abuse.com спам рассылался с ип моего сервачка :(

Feuerbach

Причем тут заинтересованность и альтруистичность?

На всю страницу текста ты не привел никакой полезной информации. Ни логов, ни конфигов, ни скриптов.

И чего ты после этого хочешь?

PS отмазка про длину логов — это феерично.

fly4life
Toha
Вывод о взломе сделан на основе данных о спаме с abuse.com спам рассылался с ип моего сервачка :(

Есть вероятность, что спам рассылает затрояненный пользователь из твоей сети.

AQIS
fly4life
Есть вероятность, что спам рассылает затрояненный пользователь из твоей сети.

У меня такой же случай был… Спам слался с заражённого компа из моей сети….

Если актуально, то попробуй

tcpdump -i rl1 | grep smtp

вместо rl1- твоя сетевая, которая смотрит во внешку…

elPoohy
fly4life
Есть вероятность, что спам рассылает затрояненный пользователь из твоей сети.

Солидарен. Если на серваке нету сенмэйла то это самый вероятный вариант. Вначале всех заставить пролечиться и посидеть повтыкать в вывод тспдумп.

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.