Форумы на Хакер

Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.

Спамищий сервак

Пользователи, просматривающие топик: none

Зашли как: Guest

Все форумы >> [*nix/Linux] >> Спамищий сервак

Имя

Сообщение

<< Старые топики Новые топики >>

Спамищий сервак - 2010-01-14 12:15:05.400000

surgutor

Сообщений: 627
Оценки: 0
Присоединился: 2008-05-29 11:42:15.623333

Вот и настал тот день, когда мой сервер стал безобразничать. В первые за 3 года идеальной работы стал спамить… Спамит редко-видимо, что как-то издалека управляют.
В связи с этим вопрос-как найти безобразника? Перерыв все логи, ничего подозрительно не нашёл. Никаких файлов подозрительных тоже…
Думаю файлы спрятаны. Ша лопачу с помощью лайф сиди. Что ещё можно приспособить, как искать вообще такие гадости???

Post #: 1

RE: Спамищий сервак - 2010-01-14 12:50:37.953333

mactep.Black

Сообщений: 6065
Оценки: 678
Присоединился: 2008-02-28 13:01:19.656666

а как узнал что через тебя спам идет?
я думаю лучше поснифать свой трафик, чем смотреть логи ssh. если негодяйцы не дураки - логи скорее всего чистят.

Post #: 2

RE: Спамищий сервак - 2010-01-14 12:57:54.513333

surgutor

Сообщений: 627
Оценки: 0
Присоединился: 2008-05-29 11:42:15.623333

Как узнал? Тот кого, спамил прислал мыло

 ---------- Forwarded message ----------
 To: abuse@website.ru, olegs@relcom.net, adisp@relcom.ru
 From: Andre Earl Paquet &lt;Andre.Earl.Paquet@umontreal.ca&gt;
 Date: Fri, 8 Jan 2010 16:25:46 -0500 (EST)
 Subject: IT security complaint : malicious act from 193.124.133.195

 Hello,

         our campus has been scanned (SSH) from an IP address
 under your control. This is a malicious act. Please take
 appropriate measures to make it stop.

         Please note that the following observations are from
 a server that should not be accessed in any way. In the habitual
 jargon, it is an "honeypot".

                Note : timezone = EST (see headers of this
                       message for differential from UTC = -5.00).
                       See also : http://www.timezoneconverter.com/

                Note : the public IP addresses of UniversitИ de
                       MontrИal are in the range : 132.204.0-255.0-255.

 Best regards,

 --
 Andre Earl Paquet
 Director of I.T. Security
 DGTIC, Universite de Montreal
 Phone : (514) 343-6111 ext. 5205
 FAX   : (514) 343-2155=20
 Email : security@UMontreal.CA

 -----------------------------------------------------------------

 surgutor.website.ru (193.124.133.195)

 SSH SCAN

 * Excerpt from LOGs :

 Jan  8 09:08:31 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:08:32 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:08:33 4E:xxxxxx sshd[87695]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:35 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:08:36 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:08:37 4E:xxxxxx sshd[87570]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:37 4E:xxxxxx sshd[87428]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:38 4E:xxxxxx sshd[87566]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:39 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:08:40 6E:xxxxxx last message repeated 2 times
 Jan  8 09:08:41 4E:xxxxxx sshd[87704]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:41 4E:xxxxxx sshd[87607]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:42 4E:xxxxxx sshd[87529]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:43 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:08:44 6E:xxxxxx last message repeated 2 times
 Jan  8 09:08:45 4E:xxxxxx sshd[87659]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:45 4E:xxxxxx sshd[87685]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:46 4E:xxxxxx sshd[87625]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:47 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:08:49 6E:xxxxxx last message repeated 2 times
 Jan  8 09:08:49 4E:xxxxxx sshd[87590]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:49 4E:xxxxxx sshd[87595]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:50 4E:xxxxxx sshd[86907]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:51 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:08:53 6E:xxxxxx last message repeated 2 times
 Jan  8 09:08:53 4E:xxxxxx sshd[87585]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:53 4E:xxxxxx sshd[87534]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:54 4E:xxxxxx sshd[87526]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:55 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:08:57 6E:xxxxxx last message repeated 2 times
 Jan  8 09:08:57 4E:xxxxxx sshd[87617]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:57 4E:xxxxxx sshd[87706]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:08:59 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:08:59 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:08:59 4E:xxxxxx sshd[970]: Refusing connection from "193.124.133.195". Too many open connections (max 20, now open 20).
 Jan  8 09:09:00 4E:xxxxxx sshd[87711]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:09:02 4E:xxxxxx sshd[87635]: password authentication failed. Login to account root not allowed or account non-existent.
 Jan  8 09:09:02 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:09:02 4E:xxxxxx sshd[970]: Refusing connection from "193.124.133.195". Too many open connections (max 20, now open 20).
 Jan  8 09:09:04 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
 Jan  8 09:09:04 4E:xxxxxx sshd[970]: Refusing connection from "193.124.133.195". Too many open connections (max 20, now open 20).

 Jan  8 09:18:31 4E:xxxxxx sshd[87428]: LoginGraceTime exceeded.
 Jan  8 09:18:32 4E:xxxxxx sshd[87695]: LoginGraceTime exceeded.
 Jan  8 09:18:35 4E:xxxxxx sshd[87570]: LoginGraceTime exceeded.
 Jan  8 09:18:36 4E:xxxxxx sshd[87566]: LoginGraceTime exceeded.
 Jan  8 09:18:39 4E:xxxxxx sshd[87704]: LoginGraceTime exceeded.
 Jan  8 09:18:39 4E:xxxxxx sshd[87607]: LoginGraceTime exceeded.
 Jan  8 09:18:40 4E:xxxxxx sshd[87529]: LoginGraceTime exceeded.
 Jan  8 09:18:43 4E:xxxxxx sshd[87659]: LoginGraceTime exceeded.
 Jan  8 09:18:43 4E:xxxxxx sshd[87685]: LoginGraceTime exceeded.
 Jan  8 09:18:44 4E:xxxxxx sshd[87625]: LoginGraceTime exceeded.
 Jan  8 09:18:47 4E:xxxxxx sshd[87590]: LoginGraceTime exceeded.
 Jan  8 09:18:47 4E:xxxxxx sshd[87595]: LoginGraceTime exceeded.
 Jan  8 09:18:49 4E:xxxxxx sshd[86907]: LoginGraceTime exceeded.
 Jan  8 09:18:51 4E:xxxxxx sshd[87585]: LoginGraceTime exceeded.
 Jan  8 09:18:51 4E:xxxxxx sshd[87534]: LoginGraceTime exceeded.
 Jan  8 09:18:53 4E:xxxxxx sshd[87526]: LoginGraceTime exceeded.
 Jan  8 09:18:55 4E:xxxxxx sshd[87617]: LoginGraceTime exceeded.
 Jan  8 09:18:55 4E:xxxxxx sshd[87706]: LoginGraceTime exceeded.
 Jan  8 09:18:57 4E:xxxxxx sshd[87711]: LoginGraceTime exceeded.
 Jan  8 09:18:59 4E:xxxxxx sshd[87635]: LoginGraceTime exceeded.

 * WHOIS-IPADDRESS :

 % whois -h whois.ripe.net 193.124.133.195
 % This is the RIPE Database query service.
 % The objects are in RPSL format.
 %
 % The RIPE Database is subject to Terms and Conditions.
 % See http://www.ripe.net/db/support/db-terms-conditions.pdf

 % Note: This output has been filtered.
 %       To receive output for a database updаtе, use the "-B" flag.

 % Information related to '193.124.133.0 - 193.124.133.255'

 inetnum:      193.124.133.0 - 193.124.133.255
 netname:      RELCOM
 descr:        EUnet/RELCOM
 descr:        Moscow
 country:      RU
 admin-c:      OVS99-RIPE
 tech-c:       OVS99-RIPE
 status:       ASSIGNED PA
 mnt-by:       AS2118-MNT
 source:       RIPE # Filtered

 person:         Oleg V. Semenyuk
 address:        Relcom Corp.
 address:        4 Raspletina ul.
 address:        123060 Moscow
 address:        Russia
 remarks:        phone:        +7 495 1941995
 phone:          +7 495 1941995
 remarks:        fax-no:       +7 495 1943328
 fax-no:         +7 495 1943328
 e-mail:         olegs@relcom.net
 nic-hdl:        OVS99-RIPE
 source:         RIPE # Filtered
 remarks:        modified for Russian phone area changes

 % Information related to '193.124.0.0/15AS2118'

 route:        193.124.0.0/15
 descr:        EUnet/RELCOM
 descr:        Russia, Moscow
 origin:       AS2118
 remarks:      removed cross-mnt:    AS2118-MNT
 mnt-by:       AS2118-MNT
 mnt-lower:    AS2118-MNT
 mnt-routes:   AS2118-MNT
 source:       RIPE # Filtered

 % Information related to '193.124.133.0/24AS2118'

 route:        193.124.133.0/24
 descr:        RELCOM Corp.
 descr:        3-B ul. Raspletina
 descr:        Moscow
 descr:        Russia
 origin:       AS2118
 mnt-by:       AS2118-MNT
 source:       RIPE # Filtered

 * WHOIS-DOMAINNAME :

 Checking server [whois.ripn.net]
 Results:
 % By submitting a query to RIPN's Whois Service
 % you agree to abide by the following terms of use:
 % http://www.ripn.net/about/servpol.html#3.2 (in Russian)
 % http://www.ripn.net/about/en/servpol.html#3.2 (in English).

 domain: WEBSITE.RU
 type: CORPORATE
 nserver: ns.msk.ru.
 nserver: ns.ru.net.
 state: REGISTERED, DELEGATED, VERIFIED
 org: "Relcom.BN", Ltd
 phone: +7 499 1960820
 phone: +7 499 1960720
 phone: +7 499 1960823
 fax-no: +7 499 1963295
 e-mail: adisp@relcom.ru
 registrar: RELCOM-REG-RIPN
 created: 1997.12.19
 paid-till: 2011.01.01
 source: TCI
 Last updаtеd on 2010.01.09 00:12:20 MSK/MSD

Трафик снифить бесполезно. Атака, если ее можно так назвать, идет не постоянно… С начала года это первый раз (8го января)…
Я балда-не спамит. Сканит SSH… Разумеется, мелочь малоприметная, но сам факт…

Хааа… Система прогнила глубже, чем кажется))
Сетки нет, ifconfig не дает никакого вывода, find не работает вообще, под root не могу ничего создать (ни директори, ни фалов - system read-only)

Post #: 3

RE: Спамищий сервак - 2010-01-14 19:17:19.676666

rgo

Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25

Ну я с таким не сталкивался не разу. Но я бы пожалуй начал бы с того, что тупо переустановил бы с live-cd всю basesystem. Ядро, coreutils, все инитскрипты, bash, gcc, make, open-ssh ну и ряд подобных пакетов. Хотя если речь идёт о серваке… То чем долго составлять полный список пакетов критичных к инфекции, проще переустановить всё. После чего аккуратненко вставляем в новую систему конфиги от старой, не забывая их внимательно просматривать. апач стоит? С горой пхп-скриптов, небось? Значит поставив апач, скрипты копируем "as is", и запускаем работать – со скриптами долго разбираться, если они инфицированы. Главное не забыть настроить всё, исходя из предположения, что скрипты – это вражеский софт.
А со скриптами, потом, я бы пожалуй порыл бы iptables, на предмет логирования открываемых соединений, ну чтобы чётко можно было бы убедиться, что именно пхп-скрипты шалят. Ну и сидел бы и изучал эти скрипты, периодически заглядывая в логи, в надежде, что там засветится какая-нибудь активность.

Если очень критично, чтобы сервак не переставал работать всё это время… Я бы нашёл какую-нибудь железку, на которой поднял бы временный сервак, с наиболее критичными сервисами.

quote:

Думаю файлы спрятаны. Ша лопачу с помощью лайф сиди. Что ещё можно приспособить, как искать вообще такие гадости???

Хм. Искать с лайф-цд – сложно, непонятно что искать. Зараза ведь может сидеть где угодно. По-моему, если хочется именно отловить, надо наблюдать за работой системы. Но, если ни одной программе системы нельзя доверять (я бы даже ядру не сильно-то доверял), то искать будет достаточно заморочно.
Хотя… Надо поставить точно такую же систему, те же сборки, тех же версий, и дальше diff'ом их сравнить. Отдельно разбираясь с каждой записью в diff.

quote:

Хааа… Система прогнила глубже, чем кажется))
Сетки нет, ifconfig не дает никакого вывода, find не работает вообще, под root не могу ничего создать (ни директори, ни фалов - system read-only)

Как же ты так, только сейчас об этом узнаёшь? ;)
Это типа прикола, что начальник выговор сделал, за что что uptime показывает больше года непрерывной работы. На логичный вопрос "а что ему не понравилось?", следует ещё более логичный ответ: ядро год не обновлялось.
Раз в месяц, не реже, надо обновлять систему. И если в ChangeLog ядра, разговоры про критические уязвимости, то ещё и ребутать.

Post #: 4

RE: Спамищий сервак - 2010-01-14 19:47:02.523333

surgutor

Сообщений: 627
Оценки: 0
Присоединился: 2008-05-29 11:42:15.623333

quote:

ORIGINAL: rgo

Это типа прикола, что начальник выговор сделал, за что что uptime показывает больше года непрерывной работы. На логичный вопрос "а что ему не понравилось?", следует ещё более логичный ответ: ядро год не обновлялось.
Раз в месяц, не реже, надо обновлять систему. И если в ChangeLog ядра, разговоры про критические уязвимости, то ещё и ребутать.

Веселье началось после ребута. Все стало отваливаться. А, фиг с ним, все равно сервер не критичный.,а для моей дипломной работы…
Интересно просто стало, кто и что может гадить.

Post #: 5

RE: Спамищий сервак - 2010-01-14 19:55:27.803333

rgo

Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25

quote:

ORIGINAL: surgutor
Веселье началось после ребута. Все стало отваливаться. А, фиг с ним, все равно сервер не критичный.,а для моей дипломной работы…
Интересно просто стало, кто и что может гадить.

Ну если любопытства ради, я бы сменил бы ядро там, на проверенное. И создал бы chroot окружение, в котором можно работать с проверенными программами. Понятно, я бы делал это загрузившись с live-cd. После чего грузанулся бы, причём быть может стартанув bash в chroot прям из ядра, вписав туда пару строк. А дальше надо будет просто сидеть и наблюдать за активностями, типа запускаемых процессов, открываемых соединений и тд, и тп.

Post #: 6

RE: Спамищий сервак - 2010-01-14 21:20:42.766666

surgutor

Сообщений: 627
Оценки: 0
Присоединился: 2008-05-29 11:42:15.623333

вот такой вопрос парни. я сделал бекар всех моих файлов, кое какие конфиги , как их безопасно проверить? понимаю, вопрос глупый, просто ни разу с червЯми не сталкивался под никсами.

Post #: 7

RE: Спамищий сервак - 2010-01-20 06:34:33.320000

WinLinux

Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333

Для начала можно узнать какой Линукс и версия ядра ??? Что команда last выводит ?

Post #: 8

RE: Спамищий сервак - 2010-02-23 11:30:23.623333

Moni

Сообщений: 13
Оценки: 0
Присоединился: 2010-02-22 18:11:06.636666

Эти негодяи скорее всего чистят логи. Так что, смотреть их это пустое и как правило безполезное занятие.

Post #: 9

Страниц: [1]

Все форумы >> [*nix/Linux] >> Спамищий сервак

Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.