Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 22:22

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 8 ] 
Autor Wiadomość
Post: poniedziałek, 11 stycznia 2010, 09:21 
Offline
Użytkownik

Rejestracja: piątek, 24 września 2004, 09:17
Posty: 299
Lokalizacja: 52°01' N 15°26' E
Witam, ostatnio nie wiedzieć z jakiego powodu (żadne zmiany na serwerze) perl zżera zasoby procesora.

Obrazek

Na printscr widać procesy perla była już sytuacja że było ich 6 ... W czym problem ?
edit: Nie wiem czy to ma coś wspólnego ale ostatnio ktoś uporczywie łączy się z moim serwerem na porcie 22 i 6667 przepotężnie wysycając upload. Zablokowałem porty,zobaczymy co dalej. Adresy hostów z których się dobijają: 85.214.45.170 ,61.137.93.80

_________________
Obrazek

lepiej być znanym pijakiem
niż anonimowym alkoholikiem ...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 11 stycznia 2010, 13:14 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Sprawdź lepiej, jaki to proces perla, jaki skrypt się wykonuje.
Samo dobijanie się nie jest groźne. Jednak przy zestawieniu 22 i 6667 zachodzi podejrzenie, że masz odpalone jakieś badziewie do skanowania hostów. Sprawdź /tmp i /var/tmp czy nie ma tam podejrzanych plików.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 11 stycznia 2010, 14:59 
Offline
Użytkownik

Rejestracja: piątek, 24 września 2004, 09:17
Posty: 299
Lokalizacja: 52°01' N 15°26' E
Maciek pisze:
Sprawdź lepiej, jaki to proces perla, jaki skrypt się wykonuje.
Samo dobijanie się nie jest groźne. Jednak przy zestawieniu 22 i 6667 zachodzi podejrzenie, że masz odpalone jakieś badziewie do skanowania hostów. Sprawdź /tmp i /var/tmp czy nie ma tam podejrzanych plików.


Aktualnie, po restarcie serwera proces nie wykonuje się, /var/tmp czysto za to w /tmp widzę exploita wunderbar_emporium.tgz i bruteBR.tar oba również w rozpakowanych katalogach. Nie jestem na tyle zaawansowany żeby prześledzić sposób jego działania i jak się uruchamia. Czy samo usunięcie rozwiąże problem ? Jak się tam znalazły, myślę że oba hasła mam dość mocne. Znalazłem taki opis tematu http://osnews.pl/krytyczna-luka-w-jadrze-linuksa-zalatana/

_________________
Obrazek

lepiej być znanym pijakiem
niż anonimowym alkoholikiem ...


Ostatnio zmieniony poniedziałek, 11 stycznia 2010, 15:11 przez Kszych, łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 11 stycznia 2010, 15:08 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Sposoby włamania są rozmaite. Nie mam danych, by to stwierdzić dokładnie, ale możemy sobie pogdybać.
1. Złapałeś wirusa na windowsie, który jest keyloggerem i w ten sposób twoje hasło dostało się do włamywacza.
2. Używasz ftp na koncie użytkownika, a tam hasła lecą otwartym tekstem. Ktoś zesnifował hasło.
3. Ktoś nie chronił hasła i można je było odczytać np. na stickerze przylepionym do monitora.
4. Któryś z użytkowników miał łatwe hasło lub tzw hasło słownikowe.
5. Włamanie nastąpiło przez www przy użyciu eksploitów - możliwości są rozmaite, dziurawe skrypty php są dość powszechne.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 11 stycznia 2010, 15:14 
Offline
Użytkownik

Rejestracja: piątek, 24 września 2004, 09:17
Posty: 299
Lokalizacja: 52°01' N 15°26' E
Maciek pisze:
Sposoby włamania są rozmaite. ciach...


Na priv wysłałem Ci link do zawartości skopiowanego katalogu, z wcześniejszego linku zamieszczonego na forum wskazuje na problem w jądrze który ponoć istniał od dawna. Pytanie najważniejsze co wywalić aby problem się rozwiązał ? Skrypty na pewno są uruchamiane z /tmp

_________________
Obrazek

lepiej być znanym pijakiem
niż anonimowym alkoholikiem ...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 11 stycznia 2010, 15:22 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
W zasadzie rada jest tylko jedna. Zrobić rm -fr /.
Sądzę, ze włamanie nastąpiło przez dziurawy phpnuke i zapewne w nim znajdują się zainstalowane obecnie furtki, które pozwolą włamywaczowi szybko odzyskać kontrolę po wyrzuceniu zainstalowanych obecnie śmieci.
Jeśli na serwerze miałeś wersję devel, to powinieneś system zainstalować na nowo jeszcze dzisiaj.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 11 stycznia 2010, 15:31 
Offline
Użytkownik

Rejestracja: piątek, 24 września 2004, 09:17
Posty: 299
Lokalizacja: 52°01' N 15°26' E
Maciek pisze:
W zasadzie rada jest tylko jedna. Zrobić rm -fr /.
Sądzę, ze włamanie nastąpiło przez dziurawy phpnuke i zapewne w nim znajdują się zainstalowane obecnie furtki, które pozwolą włamywaczowi szybko odzyskać kontrolę po wyrzuceniu zainstalowanych obecnie śmieci.
Jeśli na serwerze miałeś wersję devel, to powinieneś system zainstalować na nowo jeszcze dzisiaj.


Poczyszczę, posprawdzam gdzie jest problem choć jeżeli artykuł opisujący lukę w jądrze jest pewny to nawet postawienie systemu od nowa jest bezcelowe. Najbardziej wkurza mnie to że exploit został podrzucony 26 listopada czyli prawie 2 miesiące temu ... Thx za pomoc.

_________________
Obrazek

lepiej być znanym pijakiem
niż anonimowym alkoholikiem ...


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 11 stycznia 2010, 16:06 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Postawienie od nowa systemu nigdy nie jest bezcelowe. Eksploit, żeby zadziałać - musi się najpierw dostać do systemu.
Bez szczegółowej analizy systemu nie jestem w stanie powiedzieć, czy ten eksploit zadziałał i czy dał roota włamywaczowi. Jedynym sposobem byłoby zrobienie obrazu partycji systemowej i przeanalizowanie go.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 8 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 18 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl