Взломан сервер freebsd 7.0 (jail)

[Raven2000]

Людиии! Убейте ваш proftpd, замените менее дырявым ftp, опомнитесь!!
Защищайте родину МАТЬ ВАШУ!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

у меня подобного юзера не появилось...

[nikulich]

да к стате ещё есть подозрение что ломаются серваки у кого не только стоит proftpd но и по крайней мере если брать freebsd то ветка начинающаяся с 7-й и выще версии

[bsempire]

+1
взломали через профтпд...
всё точно также. теже логи, теже файлы в /etc
в кроне ничего нет. всё вносилось в /etc/rc.local (там у меня были маршруты, так вот когда они упали и стало понятно, что что-то случилось нехорошее)
профтпд обновил, порт закрыл (пока...)
на юзеров пароли менять не стал, ибо узнать пароль рута - геморра больше чем просто сменить имхо
вопрос беспокоит следующий... после этой атаки (при учёте того, что всё пакость удалена и пакеты обновлены), может оказаться так, что в системе остался какой-нить руткит или попросту дырка??

[avgreen]

наткнулся на те же грабли, файлик сохранил оказалось что это писанная программа и закоденная elf-фом самые интересные строки кода:
[skip]

А как/чем смотрел код?

если у кого то есть ещё что то по этой теме плиз отпишитесь , хотелось бы получить то файло которое у вас появилось в указанных папках юзера carnivores

У меня этого юзера не создало, есть только файлики из каталога /updates. Там сам эксплойт на Perl-е и несколько шеловских файлов для его запуска. Ну и то что в /etc было. Но как их посмотреть - не знаю

[avgreen]

Людиии! Убейте ваш proftpd, замените менее дырявым ftp, опомнитесь!!
Защищайте родину МАТЬ ВАШУ!

Да не кипятись ты! Никто и не пытается реабилитировать ProFTPD. Просто народ пытается разобраться где еще успел нагадить %$#&@ий руткит. А то сидим как на пороховой бочке. А переставлять весь сервер с нуля IMHO не вариант. Может тому у кого jail легче, а мне к примеру основной сервак загадили

[Raven2000]

есть ip может задосить всё )

[schizoid]

думаю, может обновиться...у мну ща 7.1 стоит...
по идее если експлоит чета подправил - должно с обновлением системы поправиться...

[manefesto]

может до 7.3 ?

[dmtr]

а собственно кто что юзает вместо proftpd?

[Alex Keda]

юзаю proftpd

[xone]

С тех пор как обновился уже почти неделю полет нормальный. Забавно что на тестовом серваке с внешним IP из той же подсети версия proftpd старая а ему хоть бы хны - как цели атаки выбираются...

А по поводу дырявости - мало ли уязвимостей в разных прогах... Зато после этой уязвимости и после того как у них совсем недавно ломанули их же ftp с исходниками, думаю все дырки хорошо закрыли

[gonzo111]

и у мня тоже proftpd стоит в клеточке
вывод чтоб не так страшно было засыпать
1 юзать клетки, притом мир в режиме nullfs ro
2 менять порт с 21 на другой и поставить че нибудь типа portsentry + fail2ban

я вот не вкурил в тему, как у вас процесс от юзера
ftp:*:1204:1204::0:0:User &:/nonexistent:/usr/sbin/nologin
получил рут права???
тогда это баг в старом мире/ядре у был и надо было вовремя секурити патчи ставить или как?

[avgreen]

[skip]

я вот не вкурил в тему, как у вас процесс от юзера
ftp:*:1204:1204::0:0:User &:/nonexistent:/usr/sbin/nologin
получил рут права???

Кстати - интересный вопрос! Точно ведь! Когда зашел от Васи - у ProFTPD права Васи и есть UID=1010

Код: Выделить всё

  1010 39797 93785   0  44  0  8636  4940 select S     ??    0:00,02 proftpd: vasya - avg.kgmz.local: IDLE (proftpd)
   14 93785     1   0  44  0  8456  3496 select Ss    ??    0:06,39 proftpd: (accepting connections) (proftpd)

А если от анонима - то тот-же UID что и у основного процесса ProFTPD

Код: Выделить всё

   14 39836 93785   0  44  0  8472  4776 select S     ??    0:00,01 proftpd: ftp - avg.kgmz.local: anonymous/avg: IDLE (proftpd)
   14 93785     1   0  44  0  8456  3508 select Ss    ??    0:06,39 proftpd: (accepting connections) (proftpd)

тогда это баг в старом мире/ядре у был и надо было вовремя секурити патчи ставить или как?

Да вроде-бы обновлялся ..... может и не совсем регулярно конечно..... Но если-бы так было, то этим страдала-бы одна две версии одной платформы, а судя по тексту в эксплойте он практически все платформы атаковал

Код: Выделить всё

@targets =
(
         ["FreeBSD 8.1 i386, ProFTPD 1.3.3a Server (binary)","FreeBSD",0, 0xbfbfe000,0xbfbfff00,1029],
         ["FreeBSD 8.0/7.3/7.2 i386, ProFTPD 1.3.2a/e/c Server (binary)","FreeBSD",0,0xbfbfe000,0xbfbfff00,1021],
         ["Debian GNU/Linux 5.0, ProFTPD 1.3.2e Server (Plesk binary)","Linux",   1,0x0804CCD4,8189,0],
         ["Debian GNU/Linux 5.0, ProFTPD 1.3.3 Server (Plesk binary)","Linux",1,0x0804D23C,4101,0],
         ["Debian GNU/Linux 4.0, ProFTPD 1.3.2e Server (Plesk binary)","Linux",1, 0x0804C9A4,8189,0],
         ["Debian Linux Squeeze/sid, ProFTPD 1.3.3a Server (distro binary)","Linux",1, 0x080532D8,4101,12],
         ["SUSE Linux 9.3, ProFTPD 1.3.2e Server (Plesk binary)","Linux",1,0x0804C9C4,8189,0],
         ["SUSE Linux 10.0/10.3, ProFTPD 1.3.2e Server (Plesk binary)","Linux",1,0x0804CAA8,8189,0],
         ["SUSE Linux 10.2, ProFTPD 1.3.2e Server (Plesk binary)","Linux",1,0x0804CBBC,8189,0],
         ["SUSE Linux 11.0, ProFTPD 1.3.2e Server (Plesk binary)","Linux",1,0x0804CCBC,8189,0],
         ["SUSE Linux 11.1, ProFTPD 1.3.2e Server (Plesk binary)","Linux",1,0x0804CCE0,8189,   0],
         ["SUSE Linux SLES 10, ProFTPD 1.3.2e Server (Plesk binary)","Linux",1,0x0804CA2C,8189,0],
         ["CentOS 5, ProFTPD 1.3.2e Server (Plesk binary)","Linux",1,0x0804C290,8189,0],
         ["ProFTPD 1.3.2b Debian 4 (Plesk binary)",    "Linux",   1,0x0804c920,8189,0],
         ["ProFTPD 1.3.2b Debian 5 (Plesk binary)",    "Linux",   1,0x0804cc60,8189,0],
         ["ProFTPD 1.3.2e Fedora 11 (Plesk binary)",    "Linux",   1,0x0804c2ec,8189,0],
         ["ProFTPD 1.3.2e Fedora 7 (Plesk binary)",    "Linux",   1,0x0804c208,8189,0],
         ["ProFTPD 1.3.2e Fedora 8 (Plesk binary)",    "Linux",   1,0x0804c258,8189,0],
         ["ProFTPD 1.3.3 Debian 4 (Plesk binary)",    "Linux",   1,0x0804ce4c,4101,0],
         ["ProFTPD 1.3.3 CentOS 4 (Plesk binary)",    "Linux",   1,0x0804ced0,4101,0],
         ["ProFTPD 1.3.3 CentOS 5 (Plesk binary)",    "Linux",   1,0x0804c72c,4101,0],
         ["bruteforce 8189",# PLATFORM SPEC

Моих знаний для ответа на вопрос "как он получил права рута" явно не хватает

[fox_12]

а собственно кто что юзает вместо proftpd?

vsftpd

Кстати, в файерволл (в примере PF) неплохо было бы добавить по крайней мере правила:

Код: Выделить всё

table <ssh_bruteforce> persist
...
block drop in log quick from <bruteforce> to any
pass in on $ext_if inet proto tcp from any to $ext_if port 21 flags S/SA keep state (max-src-conn-rate 3/30, overload <bruteforce> flush global)

Ну либо fail2ban установить и настроить под ftp (и под ssh И другие сервисы до кучи).

[schizoid]

у меня вообще анонима небыло...

[awk]

Хорошо, а как это коррелируется с тем, что у меня все те же симптомы, но proFTPd - никогда не стояло?
я всегда использовал vsftpd.

Только у меня это проявлялось в том, что машина пингалась, ФТП - работал.
А вот ssh - не пускал. Соединение сбрасывалось сервером.
Поэтому никакой деятельности в момент с 10-го на 11-е я лично увидеть не смог. Физически до сервера удалось добраться и перезапустить только 11-го.
беглый осмотр показал: куча файликов в /etc.
остальное - копаю.

[Raven2000]

Версия фри?

[Dark_ASU]

Чет я не понял, а что дырки только в I386, тогда странно это очень.