форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"что ЭТО???"
Сообщение от ank on 04-Дек-02, 21:32  (MSK)
Ребутнул фряху. Вижу сообщения при загрузке на консоль (взято из all.log): Dec  4 21:03:13 sohost /kernel: Starting local daemons: Dec  4 21:03:13 sohost /kernel: vsftpd Dec  4 21:03:13 sohost /kernel: popa3d -->>> Dec  4 21:03:13 toxahost /kernel: pid 193 (sh), uid 0: exited on signal 11 (core dumped) Dec  4 21:03:13 sohost /kernel: Segmentation fault (core dumped) Dec  4 21:03:13 sohost /kernel: apache Dec  4 21:03:13 sohost /kernel: Dec  4 21:03:13 toxahost /kernel: pid 193 (sh), uid 0: exited on signal 11 (core dumped) Dec  4 21:03:13 sohost /kernel: scanlogd В messages: Dec  4 21:03:13 sohost /kernel: pid 193 (sh), uid 0: exited on signal 11 (core dumped) Из всех сервисов в итоге не запустился только апач (все они по скрипту rc.local грузятся). Но имхо причина не  он - ведь судя по мессагам, шелл с нулевым уидом упал в корку! Возникает мысль что неопытный взломщик добавил куда-то в автостарт /bin/sh под рутом, но файрволлом закрыты ВСЕ входящие, кроме 80 (апач 1.3.27, вебсервер, фря 4.7-релиз), а все исходящие - keep state (внутри сети через нат в инете сидят клиенты). Вот мой конфиг заодно: ed0 - смотрит в инет rl0 - в локалку add 100 divert natd all from any to any via ed0 add 110 count ip from any to any in via ed0 add 120 count ip from any to any out via ed0 add 130 count ip from any to any in via rl0 add 140 count ip from any to any out via rl0 add 200 pass udp from any to any 53 via ed0 keep-state add 220 pass udp from any 53 to any via ed0 add 300 pass all from any to any via rl0 add 400 pass all from any to any via lo0 add 500 pass tcp from any to any out xmit ed0 setup add 600 pass tcp from any to any via ed0 established add 700 reset log tcp from any to any 113 in recv ed0 add 800 deny log ip from any to any frag add 900 deny icmp from any to any in via ed0 icmptypes 8 add 1000 pass icmp from any to any add 1100 pass ip from any to any 80 via ed0 вопрос - что ЭТО ЗА СООБЕНИЕ такое, хакнули меня или нет? :)
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: что ЭТО???"
Сообщение от LinaS on 04-Дек-02, 23:02  (MSK)
>Ребутнул фряху. Вижу сообщения при загрузке на консоль (взято из all.log): > >Dec  4 21:03:13 sohost /kernel: Starting local daemons: >Dec  4 21:03:13 sohost /kernel: vsftpd >Dec  4 21:03:13 sohost /kernel: popa3d >-->>> Dec  4 21:03:13 toxahost /kernel: pid 193 (sh), uid 0: exited on signal 11 (core dumped) >Dec  4 21:03:13 sohost /kernel: Segmentation fault (core dumped) >Dec  4 21:03:13 sohost /kernel: apache >Dec  4 21:03:13 sohost /kernel: Dec  4 21:03:13 toxahost /kernel: >pid 193 (sh), uid 0: exited on signal 11 (core dumped) > >Dec  4 21:03:13 sohost /kernel: scanlogd > >В messages: > >Dec  4 21:03:13 sohost /kernel: pid 193 (sh), uid 0: exited >on signal 11 (core dumped) > >Из всех сервисов в итоге не запустился только апач (все они по >скрипту rc.local грузятся). Но имхо причина не  он - ведь >судя по мессагам, шелл с нулевым уидом упал в корку! > >Возникает мысль что неопытный взломщик добавил куда-то в автостарт /bin/sh под рутом, >но файрволлом закрыты ВСЕ входящие, кроме 80 (апач 1.3.27, вебсервер, фря >4.7-релиз), а все исходящие - keep state (внутри сети через нат >в инете сидят клиенты). > Вот мой конфиг заодно: > >ed0 - смотрит в инет >rl0 - в локалку > >add 100 divert natd all from any to any via ed0 >add 110 count ip from any to any in via ed0 >add 120 count ip from any to any out via ed0 >add 130 count ip from any to any in via rl0 >add 140 count ip from any to any out via rl0 >add 200 pass udp from any to any 53 via ed0 keep-state > >add 220 pass udp from any 53 to any via ed0 >add 300 pass all from any to any via rl0 >add 400 pass all from any to any via lo0 >add 500 pass tcp from any to any out xmit ed0 setup > >add 600 pass tcp from any to any via ed0 established >add 700 reset log tcp from any to any 113 in recv >ed0 >add 800 deny log ip from any to any frag >add 900 deny icmp from any to any in via ed0 icmptypes >8 >add 1000 pass icmp from any to any >add 1100 pass ip from any to any 80 via ed0 > >вопрос - что ЭТО ЗА СООБЕНИЕ такое, хакнули меня или нет? :) > что в rc.local? что в /usr/local/etc/rc.d?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: что ЭТО???"
	Сообщение от lavr on 05-Дек-02, 10:36  (MSK)
	>>Ребутнул фряху. Вижу сообщения при загрузке на консоль (взято из all.log): >> >>Dec  4 21:03:13 sohost /kernel: Starting local daemons: >>Dec  4 21:03:13 sohost /kernel: vsftpd >>Dec  4 21:03:13 sohost /kernel: popa3d >>-->>> Dec  4 21:03:13 toxahost /kernel: pid 193 (sh), uid 0: exited on signal 11 (core dumped) >>Dec  4 21:03:13 sohost /kernel: Segmentation fault (core dumped) >>Dec  4 21:03:13 sohost /kernel: apache >>Dec  4 21:03:13 sohost /kernel: Dec  4 21:03:13 toxahost /kernel: >>pid 193 (sh), uid 0: exited on signal 11 (core dumped) >> >>Dec  4 21:03:13 sohost /kernel: scanlogd >> >>В messages: >> >>Dec  4 21:03:13 sohost /kernel: pid 193 (sh), uid 0: exited >>on signal 11 (core dumped) >> >>Из всех сервисов в итоге не запустился только апач (все они по >>скрипту rc.local грузятся). Но имхо причина не  он - ведь >>судя по мессагам, шелл с нулевым уидом упал в корку! >> >>Возникает мысль что неопытный взломщик добавил куда-то в автостарт /bin/sh под рутом, >>но файрволлом закрыты ВСЕ входящие, кроме 80 (апач 1.3.27, вебсервер, фря >>4.7-релиз), а все исходящие - keep state (внутри сети через нат >>в инете сидят клиенты). >> Вот мой конфиг заодно: >> >>ed0 - смотрит в инет >>rl0 - в локалку >> >>add 100 divert natd all from any to any via ed0 >>add 110 count ip from any to any in via ed0 >>add 120 count ip from any to any out via ed0 >>add 130 count ip from any to any in via rl0 >>add 140 count ip from any to any out via rl0 >>add 200 pass udp from any to any 53 via ed0 keep-state >> >>add 220 pass udp from any 53 to any via ed0 >>add 300 pass all from any to any via rl0 >>add 400 pass all from any to any via lo0 >>add 500 pass tcp from any to any out xmit ed0 setup >> >>add 600 pass tcp from any to any via ed0 established >>add 700 reset log tcp from any to any 113 in recv >>ed0 >>add 800 deny log ip from any to any frag >>add 900 deny icmp from any to any in via ed0 icmptypes >>8 >>add 1000 pass icmp from any to any >>add 1100 pass ip from any to any 80 via ed0 >> >>вопрос - что ЭТО ЗА СООБЕНИЕ такое, хакнули меня или нет? :) >> > >что в rc.local? >что в /usr/local/etc/rc.d? как вариант RAM накернился :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Я думаю это было ВОТ ЧТО"
	Сообщение от ank on 05-Дек-02, 19:57  (MSK)
	Кому интересно, повествую что было далее. Но сначала скажу - в rc.local, в rc.d/ и т.п. все ок - проверил, ничего не изменилось. Итак, после вот этих вот сообщений запустил я две программы - самодельную, проверяющую md5-суммы критичных файлов, и - от нечего делать - собрал линуксовую chkrootkit. Первая (моя) сказала что все ок, а вот вторая.... в процессе ее работы система выплюнула kernel emerg и сказала, что она щас собирается ребутнуться (аки винда!). Перезагрузились, в процессе ребута система, как обычно после сбоев, пустила fsck, загрузилась уже без каких-либо ошибок. Я еще раз все проверил, все скрипты, все суидные проги (не появилось ли лишних) - все нормально. как бы и забыл о сбое, но неприятный осадок остался (неужто меня, параноика, могли хакнуть? в таком случае пора повеситься на патч-корде). На следующий день (сегодня утром) решил, что пора этому вебсерверу перейти с апача 1.2.х на 2.х, благо здесь статейку подкинули на тему его установки. Да, надо сказать, что сижу я на машине через ssh, сам монитор сервера выключен, и включил я его только в момент сбоя). Итак, ставлю, configure, make..... И тут система виснет (в смысле - ssh-клиент умирает), я бегу к серверу - точно, снова ребутится! Кошмар! И только после этой второйц перезагрузки я догадался ввести команду df..... Раздел / был заполнен на 110%....... Чем я умудирился его забить, если у меня /tmp, /usr и /var на других партишнах - ума не приложу. Очевидно, сообщений бедной системы о том что места на корневой системе мало, я не видел - они пищутся на /dev/console, а я-то сижу на ttyP0 по ssh.... Ок, удалил каталог апача, занятость системы стала 91%. Уже легче. Оставил систему как есть. Отвлекся от нее... вечером подошел, включил монитор, набрал df снова - опа, а уже 63% занято, то есть учитывая что у меня / 150 мб, она куда-то 30 "отъела", а потом "вернула". Глюк-с. А о корке sh  я думаю, что просто при загрузке, при парсинге rc.local, sh упал и так как последним в списке был апач (грузится из rc.local), то он и не запустился. Как думаете, реально при переполненной партиции / такие глюки ловить? (ребут, выпадение sh в корку, самовольное занятие системой 30-ти мегов и затем их освобождение)?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Я думаю это было ВОТ ЧТО"
	Сообщение от ank on 05-Дек-02, 20:01  (MSK)
	уточню - под фразой "удалил каталог апача" имею в виду то что апач 2.х собирался в /root/tmp/, и я удалил папку с сорцами, т.к. она стала каплей переполнившей чашу.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Я думаю это было ВОТ ЧТО"
	Сообщение от lavr on 06-Дек-02, 11:56  (MSK)
	>Кому интересно, повествую что было далее. >Но сначала скажу - в rc.local, в rc.d/ и т.п. все ок >- проверил, ничего не изменилось. >Итак, после вот этих вот сообщений запустил я две программы - самодельную, >проверяющую md5-суммы критичных файлов, и - от нечего делать - собрал >линуксовую chkrootkit. Первая (моя) сказала что все ок, а вот вторая.... >в процессе ее работы система выплюнула kernel emerg и сказала, что >она щас собирается ребутнуться (аки винда!). >Перезагрузились, в процессе ребута система, как обычно после сбоев, пустила fsck, загрузилась >уже без каких-либо ошибок. >Я еще раз все проверил, все скрипты, все суидные проги (не появилось >ли лишних) - все нормально. как бы и забыл о сбое, >но неприятный осадок остался (неужто меня, параноика, могли хакнуть? в таком >случае пора повеситься на патч-корде). >На следующий день (сегодня утром) решил, что пора этому вебсерверу перейти с >апача 1.2.х на 2.х, благо здесь статейку подкинули на тему его >установки. Да, надо сказать, что сижу я на машине через ssh, >сам монитор сервера выключен, и включил я его только в момент >сбоя). Итак, ставлю, configure, make..... И тут система виснет (в смысле >- ssh-клиент умирает), я бегу к серверу - точно, снова ребутится! >Кошмар! >И только после этой второйц перезагрузки я догадался ввести команду df..... >Раздел / был заполнен на 110%....... >Чем я умудирился его забить, если у меня /tmp, /usr и /var >на других партишнах - ума не приложу. >Очевидно, сообщений бедной системы о том что места на корневой системе мало, >я не видел - они пищутся на /dev/console, а я-то сижу >на ttyP0 по ssh.... >Ок, удалил каталог апача, занятость системы стала 91%. Уже легче. Оставил систему >как есть. >Отвлекся от нее... вечером подошел, включил монитор, набрал df снова - опа, >а уже 63% занято, то есть учитывая что у меня / >150 мб, она куда-то 30 "отъела", а потом "вернула". >Глюк-с. > >А о корке sh  я думаю, что просто при загрузке, при >парсинге rc.local, sh упал и так как последним в списке был >апач (грузится из rc.local), то он и не запустился. >Как думаете, реально при переполненной партиции / такие глюки ловить? (ребут, выпадение >sh в корку, самовольное занятие системой 30-ти мегов и затем их >освобождение)? печально, root нормально работает до ~94% занятости, потом идут сообщения от ядра и забивают логи. Если /tmp на root-fs - печально, много что будет вываливать в корку потому как использует /tmp который можно переопределить. Но ситуация стремная, не нравится, я бы пропатчился и пересобрал бы ВСЮ систему и ядро. PS. Неужели неизвестный хак для FreeBSD!? :(((
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Я думаю это было ВОТ ЧТО"
	Сообщение от boykov on 06-Дек-02, 17:12  (MSK)
	>Ок, удалил каталог апача, занятость системы стала 91%. Уже легче. Оставил систему >как есть. >Отвлекся от нее... вечером подошел, включил монитор, набрал df снова - опа, >а уже 63% занято, то есть учитывая что у меня / >150 мб, она куда-то 30 "отъела", а потом "вернула". >Глюк-с. А не softupdates? Уж оченно на него похоже. Правда, на / его не должно быть.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Я думаю это было ВОТ ЧТО"
	Сообщение от lavr on 06-Дек-02, 17:25  (MSK)
	>>Ок, удалил каталог апача, занятость системы стала 91%. Уже легче. Оставил систему >>как есть. >>Отвлекся от нее... вечером подошел, включил монитор, набрал df снова - опа, >>а уже 63% занято, то есть учитывая что у меня / >>150 мб, она куда-то 30 "отъела", а потом "вернула". >>Глюк-с. >А не softupdates? Уж оченно на него похоже. Правда, на / его >не должно быть. ну вобщем думающий человек не будет на root-fs делать softupdates
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Я думаю это было ВОТ ЧТО"
	Сообщение от ank on 06-Дек-02, 20:19  (MSK)
	1. /tmp отдельным партишном 2. софтапдейта на корневом партишне нету 3. 4.7-RELEASE однако, а такие вот шутки шутит Пока, прошло два дня, система стоит. Может быть, переставлю, если еще будут инциденты. Если будут - сообщу.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Я думаю это было ВОТ ЧТО"
	Сообщение от Garry on 09-Дек-02, 11:38  (MSK)
	А чем плох softupdate на / ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: Я думаю это было ВОТ ЧТО"
	Сообщение от ank on 10-Дек-02, 08:46  (MSK)
	>А чем плох softupdate на / ? По сути он бессмысленен.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.