Włamanie na VPSa

[lord101 18]

Zauważyłem że pojawiły mi się podejrzane zadania cron pod rootem

stat crontabs/
  File: `crontabs/'
  Size: 4096            Blocks: 8          IO Block: 4096   directory
Device: 903bh/36923d    Inode: 51159709    Links: 2
Access: (1730/drwx-wx--T)  Uid: (    0/    root)   Gid: (  104/ crontab)
Access: 2016-05-28 18:13:01.449837189 +0200
Modify: 2016-05-28 18:13:01.154832730 +0200
Change: 2016-05-28 18:13:01.154832730 +0200

*/2 * * * * /usr/local/bin/antyspam  > /dev/null 2>&1
1 4 * * * /usr/local/bin/backupdb > /dev/null 2>&1
* 1 * * * cd /usr/local/directadmin/plugins/pluginstore/bin; ./checkBH > /dev/null 2>&1
* * * * *  cd /usr/local/directadmin/plugins/pluginstore/bin; php taskmanager.php > /dev/null 2>&1

 

Antywirus nic nie wykrył. Trochę kodu w tych plikach jest, jednak nie mam czasu żeby go analizować.

Najgorsze jest to że nie wiem skąd się wzięły, są tylko moje logowania. W logach również nic nie widać.

 

Zadanie cron oraz uprawnienia do plików już zablokowałem. Jednak pojawia się pytanie gdzie szukać luki? ?

 

[Jarosław Szmańda 42]

Jeśli nie wiesz skąd, a nie jesteś pewien czy nie doszło faktycznie do włamania - to to co zawsze.

Odpalają nową maszynę, a tę wypnij z sieci i analizuj.

 

[lord101 18]

Temat już wyjaśniony, można zamknąć.

[Gość Kamikadze]

Czyli?

[Westbam 64]

No właśnie - dobrze napisał Kamikadze - czyli co było przyczyną?

 

Skoro już założyłeś temat i rozwiązałeś problem podziel się z innymi - a nóż komuś się przyda...

[lord101 18]

W jednym z plików jest komentarz:

 

#  Copy Right Biznes-Host.pl 
#  admin@biznes-host.pl
#
#  Version: 0.1

Zauważyłem go dopiero gdy jedna osoba z biznes-host.pl napisała mi prywatną wiadomość z informacją że to oni dograli te pliki.

[Bartosz Z 236]

A niedawno napisali, że nie ingerują w wirtualne dyski

[tgx 575]

A niedawno napisali, że nie ingerują w wirtualne dyski

 

W przypadku VPS z DA, które na mints i bh mają opcję "+ administracja" naturalną rzeczą jest, że instalujemy tam skrypty czy to do kopii czy inne związane z zakresem świadczonej usługi.

 

 

Edytowano Czerwiec 1, 2016 przez tgx (zobacz historię edycji)

[Bartosz Z 236]

To zmienia postać rzeczy
Autor nie wspomniał, że to VPS zarządzany przez Was.

[lord101 18]

To zmienia postać rzeczy

Autor nie wspomniał, że to VPS zarządzany przez Was.

 

Bo nie jest to serwer VPS z administracją. Jakiś czas temu gdy miałem do nich pewną prośbę dostałem odpowiedź że serwer nie posiada administracji i za taką usługę należy dodatkowo zapłacić (serwerem zarządza Pan samodzielnie). Niestety był to ticket w starym panelu, a w nowym widzę może 1/5 wszystkich ticketów/logów z czatu. Za bardzo nie chce mi się przeszukiwać kilka GB na skrzynce pocztowej, jednak gdyby była taka konieczność to zmobilizuje się na weekendzie i może uda się znaleźć.

[Bartosz Z 236]

Czyli ingerowali w Twoją wirtualkę, którą sam zarządzasz?

[lord101 18]

Czyli ingerowali w Twoją wirtualkę, którą sam zarządzasz?

 

Nie wiem jak to u nich działa, chyba że odpisują tak jak im pasuje, że raz jest a raz nie ma. Nic wcześniej nie było ustalane odnośnie administracji czy ją faktycznie mam czy też nie i jaki zakres ona obejmuje.

 

Dlatego ciężko mi odpowiedzieć jak to faktycznie jest.

 

Ale z drugiej strony jak już coś robią, to mogli być o tym napisać w FAQ lub nawet w regulaminie a jak już nie to wysłać maila że coś modernizują. Bo teraz to tak nie wiadomo skąd czasami coś się bierze.

Edytowano Czerwiec 1, 2016 przez lord101 (zobacz historię edycji)

[Bartosz Z 236]

Niezły kabaret.

[tgx 575]

W ofercie zawsze była informacja, że serwery z DA mają wsparcie administracyjne. Zakres wsparcia jest ograniczony, ale w zakresie backupów, pomocy w DA itp jest.

 

Jeżeli nie zgaszasz się to daj ID vpsa, dodam go do wyjątków i po sprawie, wtedy będziesz dbał o niego samodzielnie bez pretensji, że ktoś Ci robi backupy czy zarządza serwerem pocztowym czy dba o to by serwer nie trafił na spamlisty.

Edytowano Czerwiec 1, 2016 przez tgx (zobacz historię edycji)