URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95173
[ Назад ]

Исходное сообщение
"Взлом сервера"

Отправлено isvd , 06-Ноя-13 18:24 
Всем привет. Обращаюсь к гуру. Есть факт взлома сервера. Человек показал список файлов и каталогов /home и cat /etc/passwd. Как он это сделал подсказывать не соберееаться сказал что сделал чисто в показательном варианте. Сервер ubuntu 12.04 находиться за шлюзом freeBsd 9.1. Насколько я понял он увел каким то образом рут пароль. Возможно по поставил rootkit.
предпринял действия поменял пароли  и сразу же поставил и запустил chkrootkit и rkhunter.

rkhunter вроде все чисто кроме. это я так понимаю сильно много прав для этих файлов.
это было из за того что один из админов chmod нул неправльно etc когда то. а так вроде чисто

/bin/dmesg                                      [ Warning ]
[09:21:04] Warning: Write permission is set on file '/bin/dmesg' for all users.
[09:21:04]   /bin/echo                                       [ OK ]
[09:21:04]   /bin/ed                                         [ Warning ]
[09:21:04] Warning: Write permission is set on file '/bin/ed' for all users.
[09:21:04]   /bin/egrep                                      [ Warning ]
[09:21:04] Warning: Write permission is set on file '/bin/egrep' for all users.
[09:21:04] Info: Found file '/bin/egrep': it is whitelisted for the 'script replacement' check.
[09:21:04]   /bin/fgrep                                      [ Warning ]
[09:21:04] Warning: Write permission is set on file '/bin/fgrep' for all users.
[09:21:04] Info: Found file '/bin/fgrep': it is whitelisted for the 'script replacement' check.
[09:21:04]   /bin/fuser                                      [ Warning ]
[09:21:04] Warning: Write permission is set on file '/bin/fuser' for all users.
[09:21:04]   /bin/grep                                       [ Warning ]
[09:21:04] Warning: Write permission is set on file '/bin/grep' for all users.
[09:21:04]   /bin/ip                                         [ Warning ]
[09:21:04] Warning: Write permission is set on file '/bin/ip' for all users.
[09:21:05]   /bin/kill                                       [ Warning ]
[09:21:05] Warning: Write permission is set on file '/bin/kill' for all users.
[09:21:05]   /bin/less                                       [ Warning ]
[09:21:05] Warning: Write permission is set on file '/bin/less' for all users.
[09:21:05]   /bin/login                                      [ Warning ]
[09:21:05] Warning: Write permission is set on file '/bin/login' for all users.
[09:21:05]   /bin/ls                                         [ OK ]
[09:21:05]   /bin/lsmod                                      [ Warning ]
[09:21:05] Warning: Write permission is set on file '/bin/lsmod' for all users.
[09:21:05]   /bin/mktemp                                     [ OK ]
[09:21:05]   /bin/more                                       [ Warning ]
[09:21:05] Warning: Write permission is set on file '/bin/more' for all users.
[09:21:05]   /bin/mount                                      [ Warning ]
[09:21:05] Warning: Write permission is set on file '/bin/mount' for all users.
[09:21:05]   /bin/mv                                         [ OK ]
[09:21:06]   /bin/netstat                                    [ Warning ]
[09:21:06] Warning: Write permission is set on file '/bin/netstat' for all users.
[09:21:06]   /bin/ps                                         [ Warning ]
[09:21:06] Warning: Write permission is set on file '/bin/ps' for all users.
[09:21:06]   /bin/pwd                                        [ OK ]
[09:21:06]   /bin/readlink                                   [ OK ]
[09:21:06]   /bin/sed                                        [ Warning ]
[09:21:06] Warning: Write permission is set on file '/bin/sed' for all users.
[09:21:06]   /bin/sh                                         [ OK ]
[09:21:06]   /bin/su                                         [ Warning ]
[09:21:06] Warning: Write permission is set on file '/bin/su' for all users.
[09:21:07]   /bin/touch                                      [ OK ]
[09:21:07]   /bin/uname                                      [ OK ]
[09:21:07]   /bin/which                                      [ Warning ]
[09:21:07] Warning: Write permission is set on file '/bin/which' for all users.
[09:21:07] Info: Found file '/bin/which': it is whitelisted for the 'script replacement' check.
[09:21:07]   /bin/dash                                       [ Warning ]
[09:21:07] Warning: Write permission is set on file '/bin/dash' for all users.

Насколько я понял был слабый пароль на рута но разве 7 латинских букв (не слово). Так легко подобрать. за 10 мин.

И прямого доступа к серверу без прохождения gw не было. Не могу понять как он это сделал.

Посоветуйте какие еще действия предпринять. На данный момент все закрыл фаерволом. И снаружи только порт ssh с определенных ip 80 порт для web и 1723 для vpn. пароли везде сменил. Перед этими изменениями я просто поменял пароли рутовский а он все равно смог добраться как то. после этого включил фаер признаюсь надо было раньше, и он также сейчас изнутри тоже открыто только то что нужно www для пользователей и там пару портов нужных.

Может принципе и хватит.   Внутри тревога и паника.


Содержание

Сообщения в этом обсуждении
"Взлом сервера"
Отправлено pavel_simple , 06-Ноя-13 18:29 
>[оверквотинг удален]
> И прямого доступа к серверу без прохождения gw не было. Не могу
> понять как он это сделал.
> Посоветуйте какие еще действия предпринять. На данный момент все закрыл фаерволом. И
> снаружи только порт ssh с определенных ip 80 порт для web
> и 1723 для vpn. пароли везде сменил. Перед этими изменениями я
> просто поменял пароли рутовский а он все равно смог добраться как
> то. после этого включил фаер признаюсь надо было раньше, и он
> также сейчас изнутри тоже открыто только то что нужно www для
> пользователей и там пару портов нужных.
> Может принципе и хватит.   Внутри тревога и паника.

ёбaннЬ|й стыд
систему в мусорное ведро и ставить по новой


"Взлом сервера"
Отправлено Pahanivo , 06-Ноя-13 19:03 
> ёбaннЬ|й стыд
> систему в мусорное ведро и ставить по новой

да тут не систему - тут админов за дверь ))
1) если сервак за фаером - о каком тогда руте вообще речь? о каком подборе? если 22 открыт - ну ты понял, да? ...
2) тут скорей всего [веб-сервис на опенсорсе не патченый давным давно и открытый всем, да еще полюбе запущенный из под рута чтобы не заморачиваться и не думать] + [жопорукость конкретных людей]


"Взлом сервера"
Отправлено pavel_simple , 06-Ноя-13 19:16 
>> ёбaннЬ|й стыд
>> систему в мусорное ведро и ставить по новой
> да тут не систему - тут админов за дверь ))
> 1) если сервак за фаером - о каком тогда руте вообще речь?
> о каком подборе? если 22 открыт - ну ты понял, да?
> ...
> 2) тут скорей всего [веб-сервис на опенсорсе не патченый давным давно и
> открытый всем, да еще полюбе запущенный из под рута чтобы не
> заморачиваться и не думать] + [жопорукость конкретных людей]

дык там половина всех бинарей с правами на запись -> это гарантированый рут
да -- проломать легче всего через 80 с кривыми cgi-bin/php/тд


"Взлом сервера"
Отправлено lavr , 06-Ноя-13 19:12 
> Всем привет. Обращаюсь к гуру. Есть факт взлома сервера. Человек показал список
> файлов и каталогов /home и cat /etc/passwd. Как он это сделал
> подсказывать не соберееаться сказал что сделал чисто в показательном варианте. Сервер
> ubuntu 12.04 находиться за шлюзом freeBsd 9.1. Насколько я понял он
> увел каким то образом рут пароль. Возможно по поставил rootkit.

...

> Может принципе и хватит.   Внутри тревога и паника.

Вам показали /etc/passwd или shadow?

получить список файлов и директорий - факт не из приятных, но ничего особенного,
как и содержимое /etc/passwd, в котором ничего секретного нет в отличие от shadow.

ps. если не умеете искать и отлавливать взломы или в чем-то неуверены - обязательная
переустановка системы, смена системных паролей и при последующей настройке нужных
Вам сервисов - подойти к настройке с точки зрения безопасности, возможно Вы не
позаботились о секьюрити некоторых сервисов.


"Взлом сервера"
Отправлено name , 06-Ноя-13 19:37 
>  пароли везде сменил. Перед этими изменениями я
> просто поменял пароли рутовский а он все равно смог добраться

ага, а новые пароли лежат теперь где-нибудь в /usr/src/linux-headers-3.2.0-56/include/acpi/atom.h


> Может принципе и хватит.   Внутри тревога и паника.

нет не хватит

когда нужно немного обезопасить рабочий сервер, который нельзя выключать, временно используют переустановку всех пакетов и сверку подписей, но все равно потом полностью переустанавливают ось
что-то типа такого
http://blog.rimuhosting.com/2011/10/12/checking-a-potentiall.../



"Взлом сервера"
Отправлено qwek , 07-Ноя-13 00:48 
> это было из за того что один из админов chmod нул неправльно
> etc когда то.

Переустановите систему, желательно сменить OS. Берите крайнюю, стабильную версию любого другого дистрибутива Linux. На всё про всё уйдет максимум 3-4 часа. За ночь справитесь, когда-то подобным образом переустановил за ночь 6 серверов с FreeBSD и не по факту взлома, а лишь из-за подозрения на таковой.

Не надо что-то искать во вскрытой системе - удалите её к Бененой маме с HDD.


"Взлом сервера"
Отправлено parad , 07-Ноя-13 16:03 
дело не в пароле. тебя натянули как-то иначе. врятли человек будет общещять взломать перебором пароля к руту и выполнять свое обещание за 10минут( долбоебов логинищихся рутом слишком мало, чтоб кидаться такими обещниями - да про тебя ).

вариант - либо эксплуатация уязвимости через через установленное по, либо через открытый выбшелл. такие сайты легко ищуться запросами к гуглу.

возможный выполненный сценарий:
- чел через гугл находит твой сайт с дырой.
- видит возможность выполнения произвольной команды зерез веб, но подняться до рута не может.
- видит права на запись в /etc для всех, фиксит скрипты.
- ждет когда ты соизволишь ребутнуть сервак или просто что-либо перезапустишь.
- не дожидается - подначевает тебя на форуме или в чате, демонстрируя якобы хак.
- ты бегом ломишься все ребутать, перезапускать.
- он тебя имеет.


"Взлом сервера"
Отправлено ALex_hha , 09-Ноя-13 12:22 
> долбоебов логинищихся рутом слишком мало, чтоб кидаться такими обещниями - да про тебя ).

с этого места по подробней. И что же хакеру дает возможность логиниться под рутом? :)


"Взлом сервера"
Отправлено pavlinux , 08-Ноя-13 03:05 
> Посоветуйте какие еще действия предпринять.

dd if=/dev/zero of=/dev/sda; echo "Я тибя имел, гадкий ][@цкEр!!!";echo b > /proc/sysrq-trigger;



"Взлом сервера"
Отправлено LSTemp , 12-Ноя-13 22:14 
>> Посоветуйте какие еще действия предпринять.
> dd if=/dev/zero of=/dev/sda; echo "Я тибя имел, гадкий ][@цкEр!!!";echo b > /proc/sysrq-trigger;

Радикально)



"Взлом сервера"
Отправлено LSTemp , 12-Ноя-13 22:51 
1) кто сказал и как обрисовал факт взлома?

2) права на запись в файлы часто используемых бинарников - явная уязвимость. но нет подтверждения, что это было сделано именно этим человеком. возможно этот косяк был сделан предыдущим администратором или тобой.

3)в логах что? их конечно тоже могут поправить если рута получили, но не посмотреть на них в любом случае просто глупо.

4)чтение /home и /etc/passwd открыто для любого пользователя

Итого:
1) у тебя установлены права записи в бинарные файлы - явная уязвимость. проверь, кто владелец этих файлов и кому разрешена запись в них. если только руту - то варианта 2-а: либо рута хакнули, либо это косяк реального рута (тебя/кого-то_еще) по смене прав на доступ к этим файлам. как минимум - переустановка пакетов, содержаших скомпрометированные бинарники.

2)ничего, что может обычный пользователь видеть тебе этот "взломщик" не показал - тут особого повода для беспокойства я не вижу

3) Изучение логов - особенно авторизации (кто когда подключался, тем более речь с твоих слов идет о 10-ти минутах).

4) Проверка и настройка всех сервисов на безопасность (в первую очередь web)

5) периодический дамп важных данных и сидим нервно курим пока все не рухнет ), после переустанавливаем систему (я бы на виртуалке уже сейчас этим озаботился, чтобы потом, если жареный петух клюнет, то быстрее все прошло)

PS
ничего, что указывало бы на реальный взлом (логи, трафик) я пока не вижу. все мои советы данные выше исходят из этого. ждем новостей.

PSS
физический доступ к серверу есть у кого? пароль на загрузчик установлен?


"Взлом сервера"
Отправлено parad , 13-Ноя-13 16:39 
че за бред?

"Взлом сервера"
Отправлено LSTemp , 16-Ноя-13 22:55 
> че за бред?

и в чем бред?



"Взлом сервера"
Отправлено parad , 18-Ноя-13 04:14 
система скомпромитирована. с правами на запись кем-либо куда-либо человеку показали возможность выполнения команд. глупо полагать что атакующий не воспользовался предоставленными возможностями. ну и бред - советовать анализировать тогда, когда нужно все переставлять.
ну и чуток - дампы тоже можно компраметировать( или тупо портить ) когда есть доступ к целевой системе, - тогда когда придет время они будут бесполезны.

"Взлом сервера"
Отправлено LSTemp , 20-Ноя-13 00:15 
> система скомпромитирована. с правами на запись кем-либо куда-либо человеку показали возможность
> выполнения команд. глупо полагать что атакующий не воспользовался предоставленными
> возможностями.

Вы вообще читаете прежде чем писать? В моем посте явно сказано "как минимум переустановка пакетов"

> ну и бред - советовать анализировать тогда, когда нужно все переставлять.

Правильно - давайте не будем пытаться разобраться откуда у проблемы ноги растут - чтобы в следующий раз точно так же налететь.

> ну и чуток - дампы тоже можно компраметировать( или тупо портить )
> когда есть доступ к целевой системе, - тогда когда придет время
> они будут бесполезны.

Что дампы и логи могут быть скомпрометированн я тоже писал.

Однако это не повод, чтобы не делать резервные копии данных или не иметь копию логов на удаленном сервере (благо все сислоги преррасно это умеют). Иначе, "когда придет время", Вы 100% будете с пустыми руками, а не с _возможно_ (еще и поэтому надо изучать что произошло) скомпрометированными данными, от которых хотя бы оттолкнуться можно при восстановлении работоспособности системы.