Спамищий сервак
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Спамищий сервак - 2010-01-14 12:15:05.400000
|
|
|
surgutor
Сообщений: 627
Оценки: 0
Присоединился: 2008-05-29 11:42:15.623333
|
Вот и настал тот день, когда мой сервер стал безобразничать. В первые за 3 года идеальной работы стал спамить… Спамит редко-видимо, что как-то издалека управляют. В связи с этим вопрос-как найти безобразника? Перерыв все логи, ничего подозрительно не нашёл. Никаких файлов подозрительных тоже… Думаю файлы спрятаны. Ша лопачу с помощью лайф сиди. Что ещё можно приспособить, как искать вообще такие гадости???
|
|
|
RE: Спамищий сервак - 2010-01-14 12:50:37.953333
|
|
|
mactep.Black
Сообщений: 6065
Оценки: 678
Присоединился: 2008-02-28 13:01:19.656666
|
а как узнал что через тебя спам идет? я думаю лучше поснифать свой трафик, чем смотреть логи ssh. если негодяйцы не дураки - логи скорее всего чистят.
|
|
|
RE: Спамищий сервак - 2010-01-14 12:57:54.513333
|
|
|
surgutor
Сообщений: 627
Оценки: 0
Присоединился: 2008-05-29 11:42:15.623333
|
Как узнал? Тот кого, спамил прислал мыло
---------- Forwarded message ----------
To: abuse@website.ru, olegs@relcom.net, adisp@relcom.ru
From: Andre Earl Paquet <Andre.Earl.Paquet@umontreal.ca>
Date: Fri, 8 Jan 2010 16:25:46 -0500 (EST)
Subject: IT security complaint : malicious act from 193.124.133.195
Hello,
our campus has been scanned (SSH) from an IP address
under your control. This is a malicious act. Please take
appropriate measures to make it stop.
Please note that the following observations are from
a server that should not be accessed in any way. In the habitual
jargon, it is an "honeypot".
Note : timezone = EST (see headers of this
message for differential from UTC = -5.00).
See also : http://www.timezoneconverter.com/
Note : the public IP addresses of UniversitИ de
MontrИal are in the range : 132.204.0-255.0-255.
Best regards,
--
Andre Earl Paquet
Director of I.T. Security
DGTIC, Universite de Montreal
Phone : (514) 343-6111 ext. 5205
FAX : (514) 343-2155=20
Email : security@UMontreal.CA
-----------------------------------------------------------------
surgutor.website.ru (193.124.133.195)
SSH SCAN
* Excerpt from LOGs :
Jan 8 09:08:31 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:08:32 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:08:33 4E:xxxxxx sshd[87695]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:35 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:08:36 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:08:37 4E:xxxxxx sshd[87570]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:37 4E:xxxxxx sshd[87428]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:38 4E:xxxxxx sshd[87566]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:39 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:08:40 6E:xxxxxx last message repeated 2 times
Jan 8 09:08:41 4E:xxxxxx sshd[87704]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:41 4E:xxxxxx sshd[87607]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:42 4E:xxxxxx sshd[87529]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:43 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:08:44 6E:xxxxxx last message repeated 2 times
Jan 8 09:08:45 4E:xxxxxx sshd[87659]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:45 4E:xxxxxx sshd[87685]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:46 4E:xxxxxx sshd[87625]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:47 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:08:49 6E:xxxxxx last message repeated 2 times
Jan 8 09:08:49 4E:xxxxxx sshd[87590]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:49 4E:xxxxxx sshd[87595]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:50 4E:xxxxxx sshd[86907]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:51 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:08:53 6E:xxxxxx last message repeated 2 times
Jan 8 09:08:53 4E:xxxxxx sshd[87585]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:53 4E:xxxxxx sshd[87534]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:54 4E:xxxxxx sshd[87526]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:55 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:08:57 6E:xxxxxx last message repeated 2 times
Jan 8 09:08:57 4E:xxxxxx sshd[87617]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:57 4E:xxxxxx sshd[87706]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:08:59 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:08:59 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:08:59 4E:xxxxxx sshd[970]: Refusing connection from "193.124.133.195". Too many open connections (max 20, now open 20).
Jan 8 09:09:00 4E:xxxxxx sshd[87711]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:09:02 4E:xxxxxx sshd[87635]: password authentication failed. Login to account root not allowed or account non-existent.
Jan 8 09:09:02 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:09:02 4E:xxxxxx sshd[970]: Refusing connection from "193.124.133.195". Too many open connections (max 20, now open 20).
Jan 8 09:09:04 6E:xxxxxx sshd[970]: connection from "193.124.133.195"
Jan 8 09:09:04 4E:xxxxxx sshd[970]: Refusing connection from "193.124.133.195". Too many open connections (max 20, now open 20).
Jan 8 09:18:31 4E:xxxxxx sshd[87428]: LoginGraceTime exceeded.
Jan 8 09:18:32 4E:xxxxxx sshd[87695]: LoginGraceTime exceeded.
Jan 8 09:18:35 4E:xxxxxx sshd[87570]: LoginGraceTime exceeded.
Jan 8 09:18:36 4E:xxxxxx sshd[87566]: LoginGraceTime exceeded.
Jan 8 09:18:39 4E:xxxxxx sshd[87704]: LoginGraceTime exceeded.
Jan 8 09:18:39 4E:xxxxxx sshd[87607]: LoginGraceTime exceeded.
Jan 8 09:18:40 4E:xxxxxx sshd[87529]: LoginGraceTime exceeded.
Jan 8 09:18:43 4E:xxxxxx sshd[87659]: LoginGraceTime exceeded.
Jan 8 09:18:43 4E:xxxxxx sshd[87685]: LoginGraceTime exceeded.
Jan 8 09:18:44 4E:xxxxxx sshd[87625]: LoginGraceTime exceeded.
Jan 8 09:18:47 4E:xxxxxx sshd[87590]: LoginGraceTime exceeded.
Jan 8 09:18:47 4E:xxxxxx sshd[87595]: LoginGraceTime exceeded.
Jan 8 09:18:49 4E:xxxxxx sshd[86907]: LoginGraceTime exceeded.
Jan 8 09:18:51 4E:xxxxxx sshd[87585]: LoginGraceTime exceeded.
Jan 8 09:18:51 4E:xxxxxx sshd[87534]: LoginGraceTime exceeded.
Jan 8 09:18:53 4E:xxxxxx sshd[87526]: LoginGraceTime exceeded.
Jan 8 09:18:55 4E:xxxxxx sshd[87617]: LoginGraceTime exceeded.
Jan 8 09:18:55 4E:xxxxxx sshd[87706]: LoginGraceTime exceeded.
Jan 8 09:18:57 4E:xxxxxx sshd[87711]: LoginGraceTime exceeded.
Jan 8 09:18:59 4E:xxxxxx sshd[87635]: LoginGraceTime exceeded.
* WHOIS-IPADDRESS :
% whois -h whois.ripe.net 193.124.133.195
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf
% Note: This output has been filtered.
% To receive output for a database updаtе, use the "-B" flag.
% Information related to '193.124.133.0 - 193.124.133.255'
inetnum: 193.124.133.0 - 193.124.133.255
netname: RELCOM
descr: EUnet/RELCOM
descr: Moscow
country: RU
admin-c: OVS99-RIPE
tech-c: OVS99-RIPE
status: ASSIGNED PA
mnt-by: AS2118-MNT
source: RIPE # Filtered
person: Oleg V. Semenyuk
address: Relcom Corp.
address: 4 Raspletina ul.
address: 123060 Moscow
address: Russia
remarks: phone: +7 495 1941995
phone: +7 495 1941995
remarks: fax-no: +7 495 1943328
fax-no: +7 495 1943328
e-mail: olegs@relcom.net
nic-hdl: OVS99-RIPE
source: RIPE # Filtered
remarks: modified for Russian phone area changes
% Information related to '193.124.0.0/15AS2118'
route: 193.124.0.0/15
descr: EUnet/RELCOM
descr: Russia, Moscow
origin: AS2118
remarks: removed cross-mnt: AS2118-MNT
mnt-by: AS2118-MNT
mnt-lower: AS2118-MNT
mnt-routes: AS2118-MNT
source: RIPE # Filtered
% Information related to '193.124.133.0/24AS2118'
route: 193.124.133.0/24
descr: RELCOM Corp.
descr: 3-B ul. Raspletina
descr: Moscow
descr: Russia
origin: AS2118
mnt-by: AS2118-MNT
source: RIPE # Filtered
* WHOIS-DOMAINNAME :
Checking server [whois.ripn.net]
Results:
% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian)
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).
domain: WEBSITE.RU
type: CORPORATE
nserver: ns.msk.ru.
nserver: ns.ru.net.
state: REGISTERED, DELEGATED, VERIFIED
org: "Relcom.BN", Ltd
phone: +7 499 1960820
phone: +7 499 1960720
phone: +7 499 1960823
fax-no: +7 499 1963295
e-mail: adisp@relcom.ru
registrar: RELCOM-REG-RIPN
created: 1997.12.19
paid-till: 2011.01.01
source: TCI
Last updаtеd on 2010.01.09 00:12:20 MSK/MSD
Трафик снифить бесполезно. Атака, если ее можно так назвать, идет не постоянно… С начала года это первый раз (8го января)… Я балда-не спамит. Сканит SSH… Разумеется, мелочь малоприметная, но сам факт… Хааа… Система прогнила глубже, чем кажется)) Сетки нет, ifconfig не дает никакого вывода, find не работает вообще, под root не могу ничего создать (ни директори, ни фалов - system read-only)
|
|
|
RE: Спамищий сервак - 2010-01-14 19:17:19.676666
|
|
|
rgo
Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25
|
Ну я с таким не сталкивался не разу. Но я бы пожалуй начал бы с того, что тупо переустановил бы с live-cd всю basesystem. Ядро, coreutils, все инитскрипты, bash, gcc, make, open-ssh ну и ряд подобных пакетов. Хотя если речь идёт о серваке… То чем долго составлять полный список пакетов критичных к инфекции, проще переустановить всё. После чего аккуратненко вставляем в новую систему конфиги от старой, не забывая их внимательно просматривать. апач стоит? С горой пхп-скриптов, небось? Значит поставив апач, скрипты копируем "as is", и запускаем работать – со скриптами долго разбираться, если они инфицированы. Главное не забыть настроить всё, исходя из предположения, что скрипты – это вражеский софт. А со скриптами, потом, я бы пожалуй порыл бы iptables, на предмет логирования открываемых соединений, ну чтобы чётко можно было бы убедиться, что именно пхп-скрипты шалят. Ну и сидел бы и изучал эти скрипты, периодически заглядывая в логи, в надежде, что там засветится какая-нибудь активность. Если очень критично, чтобы сервак не переставал работать всё это время… Я бы нашёл какую-нибудь железку, на которой поднял бы временный сервак, с наиболее критичными сервисами. quote:
Думаю файлы спрятаны. Ша лопачу с помощью лайф сиди. Что ещё можно приспособить, как искать вообще такие гадости??? Хм. Искать с лайф-цд – сложно, непонятно что искать. Зараза ведь может сидеть где угодно. По-моему, если хочется именно отловить, надо наблюдать за работой системы. Но, если ни одной программе системы нельзя доверять (я бы даже ядру не сильно-то доверял), то искать будет достаточно заморочно. Хотя… Надо поставить точно такую же систему, те же сборки, тех же версий, и дальше diff'ом их сравнить. Отдельно разбираясь с каждой записью в diff. quote:
Хааа… Система прогнила глубже, чем кажется)) Сетки нет, ifconfig не дает никакого вывода, find не работает вообще, под root не могу ничего создать (ни директори, ни фалов - system read-only) Как же ты так, только сейчас об этом узнаёшь? ;) Это типа прикола, что начальник выговор сделал, за что что uptime показывает больше года непрерывной работы. На логичный вопрос "а что ему не понравилось?", следует ещё более логичный ответ: ядро год не обновлялось. Раз в месяц, не реже, надо обновлять систему. И если в ChangeLog ядра, разговоры про критические уязвимости, то ещё и ребутать.
|
|
|
RE: Спамищий сервак - 2010-01-14 19:47:02.523333
|
|
|
surgutor
Сообщений: 627
Оценки: 0
Присоединился: 2008-05-29 11:42:15.623333
|
quote:
ORIGINAL: rgo Это типа прикола, что начальник выговор сделал, за что что uptime показывает больше года непрерывной работы. На логичный вопрос "а что ему не понравилось?", следует ещё более логичный ответ: ядро год не обновлялось. Раз в месяц, не реже, надо обновлять систему. И если в ChangeLog ядра, разговоры про критические уязвимости, то ещё и ребутать. Веселье началось после ребута. Все стало отваливаться. А, фиг с ним, все равно сервер не критичный.,а для моей дипломной работы… Интересно просто стало, кто и что может гадить.
|
|
|
RE: Спамищий сервак - 2010-01-14 19:55:27.803333
|
|
|
rgo
Сообщений: 7170
Оценки: 281
Присоединился: 2004-09-25 05:14:25
|
quote:
ORIGINAL: surgutor Веселье началось после ребута. Все стало отваливаться. А, фиг с ним, все равно сервер не критичный.,а для моей дипломной работы… Интересно просто стало, кто и что может гадить. Ну если любопытства ради, я бы сменил бы ядро там, на проверенное. И создал бы chroot окружение, в котором можно работать с проверенными программами. Понятно, я бы делал это загрузившись с live-cd. После чего грузанулся бы, причём быть может стартанув bash в chroot прям из ядра, вписав туда пару строк. А дальше надо будет просто сидеть и наблюдать за активностями, типа запускаемых процессов, открываемых соединений и тд, и тп.
|
|
|
RE: Спамищий сервак - 2010-01-14 21:20:42.766666
|
|
|
surgutor
Сообщений: 627
Оценки: 0
Присоединился: 2008-05-29 11:42:15.623333
|
вот такой вопрос парни. я сделал бекар всех моих файлов, кое какие конфиги , как их безопасно проверить? понимаю, вопрос глупый, просто ни разу с червЯми не сталкивался под никсами.
|
|
|
RE: Спамищий сервак - 2010-01-20 06:34:33.320000
|
|
|
WinLinux
Сообщений: 491
Оценки: 0
Присоединился: 2008-07-18 14:06:33.563333
|
Для начала можно узнать какой Линукс и версия ядра ??? Что команда last выводит ?
|
|
|
RE: Спамищий сервак - 2010-02-23 11:30:23.623333
|
|
|
Moni
Сообщений: 13
Оценки: 0
Присоединился: 2010-02-22 18:11:06.636666
|
Эти негодяи скорее всего чистят логи. Так что, смотреть их это пустое и как правило безполезное занятие.
|
|
|
|
|