forum.opennet.ru - "!!! РутКит (атака на мой веб сервер) HELP." (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"!!! РутКит (атака на мой веб сервер) HELP."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"!!! РутКит (атака на мой веб сервер) HELP."
Сообщение от Дмитрий (??) on 20-Фев-09, 09:40
Help PLIZZ!!!!! В последнее время обнаружил что мой линуксовый сервак (апач,сендмэйл,днс,фаервол,сквид) атакуют по апачам. Засылают из под юзера "апач" (судя по этому дыра именно в самом апаче) руткит, который линуксовый каспер определяет как: Exploit.Linux.Small.f, HackTool.Linux.ProcHider.a,not-a-virus:NetTool.Linux.Psybnc.a. Размещается эта гадость в /tmp и /var/tmp директории. Подскажите, как можно закрыть дыры, чтобы не лезла эта зараза. У меня CentOs 5.2, Apache 2.2.3 Настройка почти по дефолту. Кроме места размещения виртуальных сайтов. К сожалению, касперная прога kavmonitor, которая помогла-бы (по идее) отследить появление подобной гадости на моем ядре (2.6.27) не компилится.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

!!! РутКит (атака на мой веб сервер) HELP., trin, 11:00 , 20-Фев-09, (1)

!!! РутКит (атака на мой веб сервер) HELP., Дмитрий, 11:12 , 20-Фев-09, (2)

!!! РутКит (атака на мой веб сервер) HELP., trin, 11:26 , 20-Фев-09, (3)

!!! РутКит (атака на мой веб сервер) HELP., Дмитрий, 11:39 , 20-Фев-09, (4)

!!! РутКит (атака на мой веб сервер) HELP., trin, 12:11 , 20-Фев-09, (5)

!!! РутКит (атака на мой веб сервер) HELP., Дмитрий, 12:35 , 20-Фев-09, (6)

!!! РутКит (атака на мой веб сервер) HELP., angra, 13:08 , 20-Фев-09, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "!!! РутКит (атака на мой веб сервер) HELP."

Сообщение от trin (??) on 20-Фев-09, 11:00

>[оверквотинг удален]
>Exploit.Linux.Small.f, HackTool.Linux.ProcHider.a,not-a-virus:NetTool.Linux.Psybnc.a.
>
>Размещается эта гадость в /tmp и /var/tmp директории.
>
>Подскажите, как можно закрыть дыры, чтобы не лезла эта зараза. У меня
>CentOs 5.2, Apache 2.2.3 Настройка почти по дефолту. Кроме места размещения
>виртуальных сайтов.
>
>К сожалению, касперная прога kavmonitor, которая помогла-бы (по идее) отследить появление подобной
>гадости на моем ядре (2.6.27) не компилится.
а под апачем чего есть? mod_php или что-то в этом духе? или апач чисто для статики?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "!!! РутКит (атака на мой веб сервер) HELP."

Сообщение от Дмитрий (??) on 20-Фев-09, 11:12

>а под апачем чего есть? mod_php или что-то в этом духе? или
>апач чисто для статики?
На апаче крутится 3 виртуальных сервера - PHP+MySQL.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "!!! РутКит (атака на мой веб сервер) HELP."

Сообщение от trin (??) on 20-Фев-09, 11:26

>>а под апачем чего есть? mod_php или что-то в этом духе? или
>>апач чисто для статики?
>
>На апаче крутится 3 виртуальных сервера - PHP+MySQL.
Давно не имел дело с апачем, но ведь mod_php права не меняет? Т.е. если апач запущен от пользователя apache, то и пых, соответственно, от того же пользователя. Более логичным выводом будет, что дырка в php, а не в apache. Точнее в скриптах на php. Смотри логи, смотри свежесозданные файлы в расшаренных директориях итп.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "!!! РутКит (атака на мой веб сервер) HELP."

Сообщение от Дмитрий (??) on 20-Фев-09, 11:39

>Давно не имел дело с апачем, но ведь mod_php права не меняет?
>Т.е. если апач запущен от пользователя apache, то и пых, соответственно,
>от того же пользователя. Более логичным выводом будет, что дырка в
>php, а не в apache. Точнее в скриптах на php. Смотри
>логи, смотри свежесозданные файлы в расшаренных директориях итп.
Так я и пишу, что файло создается от юзеря "апач" во временных папках (/tmp и /var/tmp). Думаю, попробовать запустить апач в chroot-е. Копаться в php для меня крайне проблематично. Т.к. сайт писал не я (да и с пхп, мягко говоря, почти не имел дела), фирма его просто заказала другой фирме. И той уже 100 лет как нет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "!!! РутКит (атака на мой веб сервер) HELP."

Сообщение от trin (??) on 20-Фев-09, 12:11

>[оверквотинг удален]
>>от того же пользователя. Более логичным выводом будет, что дырка в
>>php, а не в apache. Точнее в скриптах на php. Смотри
>>логи, смотри свежесозданные файлы в расшаренных директориях итп.
>
>Так я и пишу, что файло создается от юзеря "апач" во временных
>папках (/tmp и /var/tmp). Думаю, попробовать запустить апач в chroot-е. Копаться
>в php для меня крайне проблематично. Т.к. сайт писал не я
>(да и с пхп, мягко говоря, почти не имел дела), фирма
>его просто заказала другой фирме. И той уже 100 лет как
>нет.
знания php вам не нужны =) Я же говорю — логи access, новые файлы, директории с правами 0777, вот ваши «ниточки».
find /path/to/www -mtime 1
где 1 — количество суток назад с текущего момента, т.е. find найдет все файлы, что модифицировались за последние сутки. Аналогично ищите файлы, которые модифицировались когда были созданы руткиты. Как только найдете что-то, похожее на веб-шелл — в лог апача, смотреть кто и что обращалось к шеллу, в итоге можно выйти на дырку.
А что за сайты? у меня есть опыт, скиньте на trin4ik@gmail.com, может чего найду.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "!!! РутКит (атака на мой веб сервер) HELP."

Сообщение от Дмитрий (??) on 20-Фев-09, 12:35

>знания php вам не нужны =) Я же говорю — логи access,
>новые файлы, директории с правами 0777, вот ваши «ниточки».
>find /path/to/www -mtime 1
>где 1 — количество суток назад с текущего момента, т.е. find найдет все
>файлы, что модифицировались за последние сутки. Аналогично ищите файлы, которые модифицировались
>когда были созданы руткиты. Как только найдете что-то, похожее на веб-шелл
>— в лог апача, смотреть кто и что обращалось к шеллу,
>в итоге можно выйти на дырку.
>А что за сайты? у меня есть опыт, скиньте на trin4ik@gmail.com, может
>чего найду.
Сайт проверил find-ом и ничего не обнаружил. Как ни странно но find /var/log -mtime 1 не нашел даже модифицированные логи. И искать модифицированные файлы в каталоге вебсервера, имхо, не имеет большого смысла, т.к. весь сайт динамический и весь его контент сидит в базе mysql. Попробую сам покопать, если ничего не получится, отпишусь. Спасибо за предложение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "!!! РутКит (атака на мой веб сервер) HELP."

Сообщение от angra (ok) on 20-Фев-09, 13:08

Закрыть дырку можно только найдя ее и если вы регулярно обновляетесь из security, то 99,9% она будет в скриптах, а не в самом апаче или пыхе. По личному опыту ручному взлому из-за кривых скриптов подвержена минимум половина пыховых сайтов, просто большинство из них никому не нужны. Если не можете найти дырку, то просто изолируйте проблемный(а заодно и все остальные) сайт в openvz или vserver окружение без реального ip адреса.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "!!! РутКит (атака на мой веб сервер) HELP."
Сообщение от trin (??) on 20-Фев-09, 11:00
>[оверквотинг удален] >Exploit.Linux.Small.f, HackTool.Linux.ProcHider.a,not-a-virus:NetTool.Linux.Psybnc.a. > >Размещается эта гадость в /tmp и /var/tmp директории. > >Подскажите, как можно закрыть дыры, чтобы не лезла эта зараза. У меня >CentOs 5.2, Apache 2.2.3 Настройка почти по дефолту. Кроме места размещения >виртуальных сайтов. > >К сожалению, касперная прога kavmonitor, которая помогла-бы (по идее) отследить появление подобной >гадости на моем ядре (2.6.27) не компилится. а под апачем чего есть? mod_php или что-то в этом духе? или апач чисто для статики?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "!!! РутКит (атака на мой веб сервер) HELP."
	Сообщение от Дмитрий (??) on 20-Фев-09, 11:12
	>а под апачем чего есть? mod_php или что-то в этом духе? или >апач чисто для статики? На апаче крутится 3 виртуальных сервера - PHP+MySQL.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "!!! РутКит (атака на мой веб сервер) HELP."
	Сообщение от trin (??) on 20-Фев-09, 11:26
	>>а под апачем чего есть? mod_php или что-то в этом духе? или >>апач чисто для статики? > >На апаче крутится 3 виртуальных сервера - PHP+MySQL. Давно не имел дело с апачем, но ведь mod_php права не меняет? Т.е. если апач запущен от пользователя apache, то и пых, соответственно, от того же пользователя. Более логичным выводом будет, что дырка в php, а не в apache. Точнее в скриптах на php. Смотри логи, смотри свежесозданные файлы в расшаренных директориях итп.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "!!! РутКит (атака на мой веб сервер) HELP."
	Сообщение от Дмитрий (??) on 20-Фев-09, 11:39
	>Давно не имел дело с апачем, но ведь mod_php права не меняет? >Т.е. если апач запущен от пользователя apache, то и пых, соответственно, >от того же пользователя. Более логичным выводом будет, что дырка в >php, а не в apache. Точнее в скриптах на php. Смотри >логи, смотри свежесозданные файлы в расшаренных директориях итп. Так я и пишу, что файло создается от юзеря "апач" во временных папках (/tmp и /var/tmp). Думаю, попробовать запустить апач в chroot-е. Копаться в php для меня крайне проблематично. Т.к. сайт писал не я (да и с пхп, мягко говоря, почти не имел дела), фирма его просто заказала другой фирме. И той уже 100 лет как нет.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "!!! РутКит (атака на мой веб сервер) HELP."
	Сообщение от trin (??) on 20-Фев-09, 12:11
	>[оверквотинг удален] >>от того же пользователя. Более логичным выводом будет, что дырка в >>php, а не в apache. Точнее в скриптах на php. Смотри >>логи, смотри свежесозданные файлы в расшаренных директориях итп. > >Так я и пишу, что файло создается от юзеря "апач" во временных >папках (/tmp и /var/tmp). Думаю, попробовать запустить апач в chroot-е. Копаться >в php для меня крайне проблематично. Т.к. сайт писал не я >(да и с пхп, мягко говоря, почти не имел дела), фирма >его просто заказала другой фирме. И той уже 100 лет как >нет. знания php вам не нужны =) Я же говорю — логи access, новые файлы, директории с правами 0777, вот ваши «ниточки». find /path/to/www -mtime 1 где 1 — количество суток назад с текущего момента, т.е. find найдет все файлы, что модифицировались за последние сутки. Аналогично ищите файлы, которые модифицировались когда были созданы руткиты. Как только найдете что-то, похожее на веб-шелл — в лог апача, смотреть кто и что обращалось к шеллу, в итоге можно выйти на дырку. А что за сайты? у меня есть опыт, скиньте на trin4ik@gmail.com, может чего найду.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "!!! РутКит (атака на мой веб сервер) HELP."
	Сообщение от Дмитрий (??) on 20-Фев-09, 12:35
	>знания php вам не нужны =) Я же говорю — логи access, >новые файлы, директории с правами 0777, вот ваши «ниточки». >find /path/to/www -mtime 1 >где 1 — количество суток назад с текущего момента, т.е. find найдет все >файлы, что модифицировались за последние сутки. Аналогично ищите файлы, которые модифицировались >когда были созданы руткиты. Как только найдете что-то, похожее на веб-шелл >— в лог апача, смотреть кто и что обращалось к шеллу, >в итоге можно выйти на дырку. >А что за сайты? у меня есть опыт, скиньте на trin4ik@gmail.com, может >чего найду. Сайт проверил find-ом и ничего не обнаружил. Как ни странно но find /var/log -mtime 1 не нашел даже модифицированные логи. И искать модифицированные файлы в каталоге вебсервера, имхо, не имеет большого смысла, т.к. весь сайт динамический и весь его контент сидит в базе mysql. Попробую сам покопать, если ничего не получится, отпишусь. Спасибо за предложение.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "!!! РутКит (атака на мой веб сервер) HELP."
Сообщение от angra (ok) on 20-Фев-09, 13:08
Закрыть дырку можно только найдя ее и если вы регулярно обновляетесь из security, то 99,9% она будет в скриптах, а не в самом апаче или пыхе. По личному опыту ручному взлому из-за кривых скриптов подвержена минимум половина пыховых сайтов, просто большинство из них никому не нужны. Если не можете найти дырку, то просто изолируйте проблемный(а заодно и все остальные) сайт в openvz или vserver окружение без реального ip адреса.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]