Skocz do zawartości
Konrad.K

Ataki BruteForce przez mój serwer.

Polecane posty

Witam ;)

 

Dostałem dzisiaj meila od serwerowni że z mojego serwera dedykowanego lecą ataki bruteforce na inne maszyny (dość ostro i masywnie). Każą mi coś z tym zrobić bo zrobią mi kuku pstrykając serwer.

 

Jako że uczę się ciągle zarządzania serwerami (na własny użytek) to prosił bym Was o porady co mogę zrobić żeby wytropić dziurę, i ją zakleić. Na ten moment jedyne na co wpadłem to poblokowanie kilku funkcji w PHP oraz włączenie SafeMode - choć wątpie żeby to tutaj leżał problem :P

 

No WHTowcy, budzić wyobraźnie i wesprzeć przyjaciela w potrzebie :)

 

Pozdrawiam.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Witam ;)

 

Dostałem dzisiaj meila od serwerowni że z mojego serwera dedykowanego lecą ataki bruteforce na inne maszyny (dość ostro i masywnie). Każą mi coś z tym zrobić bo zrobią mi kuku pstrykając serwer.

 

Jako że uczę się ciągle zarządzania serwerami (na własny użytek) to prosił bym Was o porady co mogę zrobić żeby wytropić dziurę, i ją zakleić. Na ten moment jedyne na co wpadłem to poblokowanie kilku funkcji w PHP oraz włączenie SafeMode - choć wątpie żeby to tutaj leżał problem :P

 

No WHTowcy, budzić wyobraźnie i wesprzeć przyjaciela w potrzebie :)

 

poszukaj podejrzanych plikow w tmp (ls -lha /tmp /var/tmp)

 

podejrzanych kont (less /etc/shadow) wszystko co ma ustawione haslo a nie jest ustawione przez ciebie jest bardzo podejrzane

 

podejrzanych procesow (ps axu), podejrzane moga byc takze mocno zajete procesy apache jesli serwer www nie jest akurat obciazony

 

netstat -pnt pokaze co i gdzie sie laczy, na serwerze nie powinno byc u ciebie prawdopodobnie zadnych polaczen wychodzacych poza np. mysql, poczta

 

bardzo podejrzany bedzie proces laczacy sie na porty 6667 (irc)

 

mozesz wyslac wyniki ps axu, ls -lha /tmp /var/tmp, uname -a, netstat -pnt, netstat -lpn

wtedy moze uda sie cos wyłowic

 

poszukaj tez dziwnych wywołan w accesslogu chodzi o wywolania z adresem url zamiast numeru strony itp.

wiecej na http://en.wikipedia.org/wiki/Remote_File_Inclusion

 

tak bym strzelal, ktos sie wlamal przez dziurawe php i postawil bota i sie bawi

 

--

Lazy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Proponuję zablokować wszystkie niepotrzebne porty wychodzące.

 

Pewnie masz też ustawione w php możliwość includowania zew. skryptów. Wtedy wystarczy, że ktoś zapoda odpowiedni plik i już robic co chce (masz powyżej w linku do wiki)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

OO, jak miło ;) WHT Team nigdy nie zawodzi :P Już zaraz zacznę zabawę i będę zdawał raporty z mojej walki (z wiatrakami) choć zapewnie nie obejdzie się bez garści pytań podczas tej zabawy, choć postaram się by google było tym głównym, a może i jedynym pytanym :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Normanos, rkhunter i znalezione w jego logu ostrzezenia i koncowy wynik wyglada tak:

 

[00:22:26] /bin/egrep [ Warning ]

[00:22:26] Warning: The command '/bin/egrep' has been replaced by a script: /bin/egrep: Bourne shell script text executable

[00:22:26] /bin/fgrep [ Warning ]

[00:22:26] Warning: The command '/bin/fgrep' has been replaced by a script: /bin/fgrep: Bourne shell script text executable

 

[ Warning ]

[00:22:28] Warning: The command '/bin/which' has been replaced by a script: /bin/which: Bourne shell script text executable

 

[ Warning ]

[00:22:30] Warning: The command '/usr/bin/groups' has been replaced by a script: /usr/bin/groups: Bourne shell script text executable

 

[ Warning ]

[00:22:31] Warning: The command '/usr/bin/ldd' has been replaced by a script: /usr/bin/ldd: Bourne-Again shell script text executable

 

Info: Starting test name 'trojans'

[00:23:23] Info: Using inetd configuration file '/etc/inetd.conf'

[00:23:24] Checking for enabled inetd services [ Warning ]

[00:23:24] Warning: Found enabled inetd service: imap2

 

[00:23:47] System checks summary

[00:23:47] =====================

[00:23:47]

[00:23:47] File properties checks...

[00:23:47] Required commands check failed

[00:23:47] Files checked: 120

[00:23:47] Suspect files: 6

[00:23:47]

[00:23:47] Rootkit checks...

[00:23:47] Rootkits checked : 110

[00:23:47] Possible rootkits: 0

[00:23:47]

[00:23:47] Applications checks...

[00:23:47] Applications checked: 8

[00:23:48] Suspect applications: 0

[00:23:48]

[00:23:48] The system checks took: 1 minute and 28 seconds

 

 

@lazy:

 

- w tmp nic ciekawego poza plikami sesji nie znalazłem

- żadne podejrzane konto nie rzuciło mi się w oczy (chyba że się mylę)

- żaden proces nie wydał się dziwny, żaden także nie wywołuje loadów

 

Wyniki netstat:

 

server69:/var/log# netstat -pnt

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 85.***.134.160:80 208.80.193.41:60176 TIME_WAIT -

tcp 0 0 85.***.134.160:80 202.160.178.37:39065 TIME_WAIT -

tcp 0 0 85.***.134.160:80 83.12.110.202:44793 TIME_WAIT -

tcp 0 0 85.***.134.160:80 208.80.193.41:58905 TIME_WAIT -

tcp 0 0 85.***.134.160:80 66.249.72.138:51040 TIME_WAIT -

tcp 0 0 85.***.134.160:80 74.6.17.178:33000 TIME_WAIT -

tcp 0 0 85.***.135.74:43347 193.17.41.93:80 ESTABLISHED20824/httpd

tcp 0 0 85.***.134.160:80 130.60.144.225:35901 TIME_WAIT -

tcp 0 0 85.***.134.160:80 201.252.14.134:2053 TIME_WAIT -

tcp 0 0 85.***.134.160:80 74.6.17.178:33243 TIME_WAIT -

tcp 0 0 85.***.134.160:80 202.160.180.149:54451 TIME_WAIT -

tcp 0 5337 85.***.134.160:80 83.12.110.202:39578 ESTABLISHED26879/lighttpd

tcp 0 0 85.***.134.160:80 130.60.144.225:35955 TIME_WAIT -

tcp 0 0 85.***.134.160:80 65.102.92.30:1294 TIME_WAIT -

tcp 0 0 85.***.134.160:80 130.60.144.225:35992 TIME_WAIT -

tcp 0 0 85.***.134.160:80 83.2.73.210:59721 TIME_WAIT -

tcp 0 0 85.***.134.160:80 65.102.92.30:1290 TIME_WAIT -

tcp 0 0 85.***.134.160:80 208.80.193.41:58518 TIME_WAIT -

tcp 0 0 85.***.134.160:80 203.209.252.60:58428 TIME_WAIT -

tcp 0 0 85.***.134.160:80 130.60.144.225:35998 TIME_WAIT -

tcp 0 0 85.***.134.160:80 130.60.144.225:35978 TIME_WAIT -

tcp 0 0 85.***.134.160:80 202.160.179.125:43096 TIME_WAIT -

tcp 0 0 85.***.134.160:80 61.247.222.54:46101 TIME_WAIT -

tcp 0 0 85.***.134.160:80 130.60.144.225:36027 TIME_WAIT -

tcp 0 4357 85.***.135.74:80 66.249.71.65:47592 ESTABLISHED20824/httpd

tcp 0 0 85.***.134.160:80 130.60.144.225:36011 TIME_WAIT -

tcp 0 0 85.***.134.160:80 202.160.180.165:51035 TIME_WAIT -

tcp 0 0 85.***.134.160:80 74.6.17.178:33573 TIME_WAIT -

tcp 0 0 85.***.134.160:80 202.160.180.108:42760 TIME_WAIT -

tcp 0 0 85.***.134.160:80 83.2.73.210:60689 TIME_WAIT -

tcp 0 0 85.***.134.160:80 83.12.110.202:46110 TIME_WAIT -

tcp 0 0 85.***.134.160:80 83.12.110.202:35093 TIME_WAIT -

tcp6 0 5020 ::ffff:85.***.135.:5000 ::ffff:83.10.183.:58680 ESTABLISHED20930/0

 

server69:/var/log# uname -a

Linux server69.pl 2.6.18-ovz-028stab053.5-smp #1 SMP Sat Mar 1 12:19:31 CET 2008 i686 GNU/Linux

 

@MiSi3kK: Jak wyciąć zbędne porty ? ;)

Poblokowałem już w php.ini co trzeba, odpaliłem SafeMode, jeszcze trochę pobuszuje po tej konfiguracji :P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Normanos, rkhunter i znalezione w jego logu ostrzezenia i koncowy wynik wyglada tak:

 

 

 

 

@lazy:

 

- w tmp nic ciekawego poza plikami sesji nie znalazłem

- żadne podejrzane konto nie rzuciło mi się w oczy (chyba że się mylę)

- żaden proces nie wydał się dziwny, żaden także nie wywołuje loadów

 

Wyniki netstat:

 

tcp 0 0 85.***.135.74:43347 193.17.41.93:80 ESTABLISHED20824/httpd

 

uzywasz u siebie apache ?

to ze apache laczy sie z jakims serwerem www wskazuje wlasnie na RFI, poszukaj w logach apache odwolan z

http://costam w adresie

 

ewentualnie

 

strace -p 20824 (numerek moze sie zmieniac, pobierz aktualny z netstata) 2>&1 |less

 

da jakis oglad co proces robi i powinny sie przewinac nazwy plikow przez ktore moze wchodzic wlamywacz

 

kernel dosc stary, 53.5 jest chyba nawet podatne na splice choc na openvz standardowy exploit nie działa

 

tcp6 0 5020 ::ffff:85.***.135.:5000 ::ffff:83.10.183.:58680 ESTABLISHED20930/0

to tez podejrzane

 

a co masz w netstat -lpnt

 

 

--

Lazy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
server69:/usr/local/lib# netstat -lpnt

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 29148/mysqld

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 26879/lighttpd

tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 6617/mysqld

tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 29561/pdns_server-i

tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 29325/vsftpd

tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 6548/exim

tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 6701/vm-pop3d

tcp 0 0 0.0.0.0:2222 0.0.0.0:* LISTEN 6544/directadmin

tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 29305/master

tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 6575/inetd

tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 6357/portmap

tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 4965/httpd

tcp 0 0 85.114.134.165:53 0.0.0.0:* LISTEN 6517/named

tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 6630/proftpd: (acce

tcp 0 0 85.114.135.74:53 0.0.0.0:* LISTEN 6517/named

tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 6517/named

tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 6548/exim

tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 6517/named

tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 4965/httpd

tcp6 0 0 :::5000 :::* LISTEN 21097/sshd

tcp6 0 0 :::53 :::* LISTEN 6517/named

tcp6 0 0 ::1:953 :::* LISTEN 6517/named

tcp6 0 0 :::5000 :::* LISTEN 29319/sshd

 

Logi zaraz przeszukam ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Logi zaraz przeszukam ;)

 

hmm

tcp6 0 0 :::5000 :::* LISTEN 21097/sshd

tcp6 0 0 :::53 :::* LISTEN 6517/named

tcp6 0 0 ::1:953 :::* LISTEN 6517/named

tcp6 0 0 :::5000 :::* LISTEN 29319/sshd

 

czyli to netstat z hardwarenode z jakims openvz vpsem z DA?

a te 5000 to twoje ssh, wiec zostaje tylko apache laczacy sie z czyms na o2

 

pamietaj ze accesslogi w da sa podzielone o ile dobrze pamietam

 

grep http /var/log/httpd/domains/*.log (czy jakos tak) powinno przesiac odpowiednich kandydatow na wlam

 

--

Lazy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tak, jest jeden mały VPS z oddzielnym softem na jeden serwis, jest DA ;)

5000 to moje ssh.

 

grep http /var/log/httpd/domains/*.log <-- po tej komendzie wywalilo mi tyle koszmicznych rzeczy że wiesz, ale tak spojrzalem to były to głównie boty google, boty msn, i pobrania z wrzuty przez skrypt jednego z userow na serwerze :P

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Tak, jest jeden mały VPS z oddzielnym softem na jeden serwis, jest DA ;)

5000 to moje ssh.

 

grep http /var/log/httpd/domains/*.log <-- po tej komendzie wywalilo mi tyle koszmicznych rzeczy że wiesz, ale tak spojrzalem to były to głównie boty google, boty msn, i pobrania z wrzuty przez skrypt jednego z userow na serwerze :P

 

ten podejrzany apache to wrzuta jest wiec odpada

 

masz jakies informacje jakie konkretnie ataki i co najwazniejsze kiedy, wtedy dobrze by przejrzec dokladnie

acceslogi z tego okresu

 

--

Lazy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Wysyłąm Ci na PW fragment tego co dostałem od FastIt.

 

skany ssh czesto sa odpalane po zalogowaniu sie na serwer bota wlasnie przez ssh, w netstacie nie bylo zadnych wychodzacych polaczen ssh, wiec pewni juz sie skonczylo, pospradzaj kto sie logowal na ssh, przed sknem, i poszukaj dziwnych rzeczy w .bash_history, moze ktos ma ustawione słabe hasło ? (moze warto przejechac johnem)

 

moze niedawno przeniosles ssh na port 5000 i zalogowali sie wczesniej ?

 

--

Lazy

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hmm, port 5000 mam od samego początku, ba - nikt poza mną nie ma konta do ssh na tym serwerze, kilku znajomych dostało tylko zwykłe konta w DA. W historii bash nie ma nic niepokojącego, widzę kilka poczynań admina, kilka moich zabaw, i później już od momentu krytycznego samą walkę i grzebanie przeze mnie w konfigach - więc albo ktoś jest na tyle cwany że zatarł ślady, albo nie odbyło się to bezpośrednio przez SSH...tak?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Hmm, port 5000 mam od samego początku, ba - nikt poza mną nie ma konta do ssh na tym serwerze, kilku znajomych dostało tylko zwykłe konta w DA. W historii bash nie ma nic niepokojącego, widzę kilka poczynań admina, kilka moich zabaw, i później już od momentu krytycznego samą walkę i grzebanie przeze mnie w konfigach - więc albo ktoś jest na tyle cwany że zatarł ślady, albo nie odbyło się to bezpośrednio przez SSH...tak?

 

mozliwe, a logowania czy pojawiaja sie jakies nieznane hosty ? last powinno tu pomoc

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
matih@s- ftpd3000 87.***.58.77 Mon Aug 4 09:25 - 09:41 (00:15)

matih@s- ftpd2258 87.***.61.139 Mon Aug 4 08:52 - 09:03 (00:10)

matih@s- ftpd2125 87.***.61.139 Mon Aug 4 08:44 - 08:55 (00:10)

 

matih@s- ftpd15268 87.***.58.77 Mon Aug 4 15:45 - 15:55 (00:10)

matih@s- ftpd15069 87.***.58.77 Mon Aug 4 15:35 - 15:51 (00:16)

 

teres@lo ftpd31476 79.***.12.91 Sun Aug 3 16:10 - 17:01 (00:50)

 

Tylko te wpisy wydały mi się dziwne... chociaż może ktoś komuś dał subkonto, cholera wie;/

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×