https://opennet.ru/openforum/vsluhforumID1/84188.html Help PLIZZ!!!!!<br><br> В последнее время обнаружил что мой линуксовый сервак (апач,сендмэйл,днс,фаервол,сквид) атакуют по апачам. Засылают из под юзера "апач" (судя по этому дыра именно в самом апаче) руткит, который линуксовый каспер определяет как:<br><br>Exploit.Linux.Small.f, HackTool.Linux.ProcHider.a,not-a-virus:NetTool.Linux.Psybnc.a.<br><br>Размещается эта гадость в /tmp и /var/tmp директории.<br><br>Подскажите, как можно закрыть дыры, чтобы не лезла эта зараза. У меня CentOs 5.2, Apache 2.2.3 Настройка почти по дефолту. Кроме места размещения виртуальных сайтов. <br><br>К сожалению, касперная прога kavmonitor, которая помогла-бы (по идее) отследить появление подобной гадости на моем ядре (2.6.27) не компилится.<br> https://opennet.ru/openforum/vsluhforumID1/84188.html#7 Fri, 20 Feb 2009 10:08:07 GMT Закрыть дырку можно только найдя ее и если вы регулярно обновляетесь из security, то 99,9% она будет в скриптах, а не в самом апаче или пыхе. По личному опыту ручному взлому из-за кривых скриптов подвержена минимум половина пыховых сайтов, просто большинство из них никому не нужны. Если не можете найти дырку, то просто изолируйте проблемный(а заодно и все остальные) сайт в openvz или vserver окружение без реального ip адреса. <br><br><br> https://opennet.ru/openforum/vsluhforumID1/84188.html#6 Fri, 20 Feb 2009 09:35:21 GMT &gt;знания php вам не нужны =) Я же говорю &#8212; логи access, <br>&gt;новые файлы, директории с правами 0777, вот ваши &laquo;ниточки&raquo;. <br>&gt;find /path/to/www -mtime 1 <br>&gt;где 1 &#8212; количество суток назад с текущего момента, т.е. find найдет все <br>&gt;файлы, что модифицировались за последние сутки. Аналогично ищите файлы, которые модифицировались <br>&gt;когда были созданы руткиты. Как только найдете что-то, похожее на веб-шелл <br>&gt;&#8212; в лог апача, смотреть кто и что обращалось к шеллу, <br>&gt;в итоге можно выйти на дырку. <br>&gt;А что за сайты? у меня есть опыт, скиньте на trin4ik@gmail.com, может <br>&gt;чего найду. <br><br>Сайт проверил find-ом и ничего не обнаружил. Как ни странно но find /var/log -mtime 1 не нашел даже модифицированные логи. И искать модифицированные файлы в каталоге вебсервера, имхо, не имеет большого смысла, т.к. весь сайт динамический и весь его контент сидит в базе mysql. Попробую сам покопать, если ничего не получится, отпишусь. Спасибо за предложение.<br><br><br> https://opennet.ru/openforum/vsluhforumID1/84188.html#5 Fri, 20 Feb 2009 09:11:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt;от того же пользователя. Более логичным выводом будет, что дырка в <br>&gt;&gt;php, а не в apache. Точнее в скриптах на php. Смотри <br>&gt;&gt;логи, смотри свежесозданные файлы в расшаренных директориях итп. <br>&gt;<br>&gt;Так я и пишу, что файло создается от юзеря "апач" во временных <br>&gt;папках (/tmp и /var/tmp). Думаю, попробовать запустить апач в chroot-е. Копаться <br>&gt;в php для меня крайне проблематично. Т.к. сайт писал не я <br>&gt;(да и с пхп, мягко говоря, почти не имел дела), фирма <br>&gt;его просто заказала другой фирме. И той уже 100 лет как <br>&gt;нет. <br><br>знания php вам не нужны =) Я же говорю &#8212; логи access, новые файлы, директории с правами 0777, вот ваши &#171;ниточки&#187;. <br>find /path/to/www -mtime 1<br>где 1 &#8212; количество суток назад с текущего момента, т.е. find найдет все файлы, что модифицировались за последние сутки. Аналогично ищите файлы, которые модифицировались когда были созданы руткиты. Как только найдете что-то, похожее на веб-шелл &#8212; в лог апача, смотреть кто и что обращалось к https://opennet.ru/openforum/vsluhforumID1/84188.html#4 Fri, 20 Feb 2009 08:39:11 GMT &gt;Давно не имел дело с апачем, но ведь mod_php права не меняет? <br>&gt;Т.е. если апач запущен от пользователя apache, то и пых, соответственно, <br>&gt;от того же пользователя. Более логичным выводом будет, что дырка в <br>&gt;php, а не в apache. Точнее в скриптах на php. Смотри <br>&gt;логи, смотри свежесозданные файлы в расшаренных директориях итп. <br><br>Так я и пишу, что файло создается от юзеря "апач" во временных папках (/tmp и /var/tmp). Думаю, попробовать запустить апач в chroot-е. Копаться в php для меня крайне проблематично. Т.к. сайт писал не я (да и с пхп, мягко говоря, почти не имел дела), фирма его просто заказала другой фирме. И той уже 100 лет как нет.<br><br><br> https://opennet.ru/openforum/vsluhforumID1/84188.html#3 Fri, 20 Feb 2009 08:26:37 GMT &gt;&gt;а под апачем чего есть? mod_php или что-то в этом духе? или <br>&gt;&gt;апач чисто для статики? <br>&gt;<br>&gt;На апаче крутится 3 виртуальных сервера - PHP+MySQL. <br><br>Давно не имел дело с апачем, но ведь mod_php права не меняет? Т.е. если апач запущен от пользователя apache, то и пых, соответственно, от того же пользователя. Более логичным выводом будет, что дырка в php, а не в apache. Точнее в скриптах на php. Смотри логи, смотри свежесозданные файлы в расшаренных директориях итп. <br> https://opennet.ru/openforum/vsluhforumID1/84188.html#2 Fri, 20 Feb 2009 08:12:12 GMT &gt;а под апачем чего есть? mod_php или что-то в этом духе? или <br>&gt;апач чисто для статики? <br><br>На апаче крутится 3 виртуальных сервера - PHP+MySQL.<br><br><br> https://opennet.ru/openforum/vsluhforumID1/84188.html#1 Fri, 20 Feb 2009 08:00:44 GMT &gt;[оверквотинг удален]<br>&gt;Exploit.Linux.Small.f, HackTool.Linux.ProcHider.a,not-a-virus:NetTool.Linux.Psybnc.a. <br>&gt;<br>&gt;Размещается эта гадость в /tmp и /var/tmp директории. <br>&gt;<br>&gt;Подскажите, как можно закрыть дыры, чтобы не лезла эта зараза. У меня <br>&gt;CentOs 5.2, Apache 2.2.3 Настройка почти по дефолту. Кроме места размещения <br>&gt;виртуальных сайтов. <br>&gt;<br>&gt;К сожалению, касперная прога kavmonitor, которая помогла-бы (по идее) отследить появление подобной <br>&gt;гадости на моем ядре (2.6.27) не компилится. <br><br>а под апачем чего есть? mod_php или что-то в этом духе? или апач чисто для статики?<br>