Problem Z Serwerem (chyba Jakies Ataki)

[marcinp 0]

Witam

 

Mam taki problem.

Od kilku dni cos caly czas obciaza mi serwer w topi widac to jako uzytkownik www-data natomiast proces perl.

 

top -c pokazuje to jako uzytkownik www-data natomiasy proces /usr/sbin/httpd mimo ze nie ma takiego pliku.

Apache dziala jako proces apache2 i uzytkownik www-data wiec to nie jest to.

 

Na serwerz dziala jedno forum phpbb i jeden system mambo.

 

Nie wiem w czym jest blad ale jak te procesy sa i jest ich zawsze mnostwo to serwer przestaje dzialc i wszystkie strony w oparciu o mysql nie otwieraja sie.

 

Pomocy !!!!!!!!!!!

[Gość patrick]

Hmm nie wiem tak na odleglosc ale co jets w logach ? w ps aux ?

Skannij rkhunter ...

[marcinp 0]

A wiec tak w logach widac niewiele bo nic na ten temat nie znalazlem - chyba ze zle szukalem

 

Co do ps aux to pokazuje duzo procesow odpalonych jako /usr/sbin/httpd z uzytkownika www-data.

 

Jest ich poprostu mnostwo wiec zabijanie pokolei nie ma sensu.

Restart apache wowczas tez nie wychodzi poniewaz po zatrzymaniu apache sie juz nie chce uruchomic.

Pomaga jedynie restart serwera. Wowczas po uruchomieniu nie ma przez jakis czas tych procesow.

 

 

CO do "Skannij rkhunter ..." to niebardzo wiem o co chodzi - ucze sie caly czas

[Luke 0]

a sprawdzales czy transfer nie skoczył Ci gwałtownie do góry? masz staty?

[marcinp 0]

O ja.

 

Dobrze ze mi powiedzieliscie otym transferze. Skoczyl to malo powiedziane. A porostu oszlal.

Wczoraj mialem 49 GB a dzisiaj 166 GB. Normalnie miesiecznie wykorzystywalem maks. 60 GB,

 

Proszę pomozcie bo to co sie dzieje to juz raczej nie sa zarty.

[Luke 0]

O ja.

 

Dobrze ze mi powiedzieliscie otym transferze. Skoczyl to malo powiedziane. A porostu oszlal.

Wczoraj mialem 49 GB a dzisiaj 166 GB. Normalnie miesiecznie wykorzystywalem maks. 60 GB,

 

Proszę pomozcie bo to co sie dzieje to juz raczej nie sa zarty.

 

 

Czyli teraz już wiesz że napewno jest to atak.

Jeśli to nie jest problem Proponuję wyłączyć apacha podczas naprawiania (nie wiem gdzie masz serwer ale mogą Ci go zablokować)

 

 

Najlepsze było by wynajecie admina wiadomo wtedy omiń kroki niżej opisane

 

Rada mojej byłej serwerowni Theplanet w takim wypadku to postawienie na nowo LInuxa

Jesli to odpada to poprostu musisz sprawdzić zabezpieczenia jakie masz wersje php/mysql

 

 

Czy /tmp jest zabezpieczone, jesli nie poszukaj w googlu jak to się robi

Wyłącz wget

Sugeruję też później zainstalować BruceForceProtection (zapobiega atakom Bruce Force) + Firewall (2 darmowe narzedzia które są przydatne)

potem REBOOT

 

 

 

Szukać informacji po forach www.webhostingtalk.com www.ev1servers.net root-forum.pl

 

 

Ps. Nie jestem adminem, ale jakies tam doswiadczonko mam - nie są to sugestie pewne/profesjonalne - jak pewnie zauwazyles

[Gość normanos]

CO do "Skannij rkhunter ..." to niebardzo wiem o co chodzi - ucze sie caly czas

http://normanos.com/linux/w-poszukiwaniu-s...rootkit-hunter/

 

co do reszty: przejrzyj koniecznie logi systemowe, potem ew. maile, apache. zlokalizuj najpierw dziure bo lecenie od razu z reintalacja systemu jest smieszne i takie... windowsowe.

 

mozliwe jest ze masz jakies dziurawe skrypty, phpBB czy cus i np. teraz robisz za spambramke

[marcinp 0]

Jezeli mozecie napisac cos wiecej na temat zabezpieczenia tmp, oraz ewentulanie czy wlaczenie safe mode moze cos mi pomoc.

 

Co do reinstalacji systemu to nie wchodzi w gre. system skanowalem narzedziem debiana chkrootkit i nie znalazlo nic.

 

Cos wiecej na temat tego bruteforce ( co polecacie) poniewaz takie zeczy napewno maja miejsce bo w logach tego widze tone doslownie.

 

Co do wyłacz wget to gdzie mam go wylaczyc ? w php w funkcjach zablokowanych czzy gdzie ?

[Gość normanos]

sluchaj, jak chcesz zeby ktos ci pomógł to pisz więcej konkretów pliss... na razie nic z tego nie wynika. wklej jakies kawałki logów ktore twoim zdaniem sa podejrzane. Na razie cholera wie co ty tam masz i co może Ci pomóc.

 

To troche jak wrozenie z fusów.

 

firewall - APF http://www.rfxnetworks.com/apf.php

wspomniane brute force - BFD http://www.rfxnetworks.com/bfd.php

[Luke 0]

Safe Mode może pomóc, wtedy nie musisz ograniczac funkcji

co do chmod zaloguj sie jako root do ssh i wpisz (lub wklej:) ) "chmod 700 `which wget` && chattr +i `which wget`"

 

Co do tmp jesli masz Cpanel : zaloguj sie jako root i

 

uruchom /scripts/securetmp (choć nie próbowałem tej metody )

 

Ten skrypt zostal napisany przez Cpanel i jest bardzo prosty jak widac w obsłudze

Jeśli nie masz Cpanela możesz to zrobić manualnie http://www.linuxtechs.net/securing_tmp_partition

lub użyć skryptu (nie próbowałem tej metody) http://www.myserver.us/articles/checking-s...tory-check.html

[marcinp 0]

z duza pomoca kolegi zabezbieczone .

 

Jest w tej chwili apf, brute force protection, zabezpieczone tmp, zablokowane sporo funkcji w php, poprawione zabezpieczenia na ssh.

 

Jezeli ktos ma jeszcze jakies propozycje to prosze pisac bede dalej zabezpieczal.

 

Poki co mam jeszcze jedno pytanie przy skanowaniu nmap host -vv -sS -O

 

zwaraca mi dificulty=8339 (Worthy challenge)

 

Natomiast jak skonuje inny moj serwer w ten sam sposob ( serwer wogule niezabezpieczony) zwaraca mi

 

dificulty=17066589 (Good luck!)

 

Co jest z tym. I co jest wazniesz im wiecej jest czy im mniej.

[Gość patrick]

z tego co sie orientuje czym wiecej tym lepiej ....

Dorzuc do konfiguracji mod_security i mysle ze mozesz czuc sie bezpieczny

[p 3]

z duza pomoca kolegi zabezbieczone .

zwaraca mi dificulty=8339 (Worthy challenge)

Jedno zaprzecza drugiemu...

Nie wiem co tam masz, ale jakbys napisal co masz zainstalowane i w jakich wersjach to moze by sie okazalo dlaczego masz 'difficulty' tak strasznie niskie. Ogolnie nie wiedzialem, ze tak niskie wartosci da sie osiagnac na czyms innym niz Win 9x/ME.

Albo lepiej poszukaj jakiegos administratora, bo z tego co pamietam to juz nie pierwszy twoj 'wiekszy' problem z tym serwerem.

[marcinp 0]

Juz nic nie rozumiem. Jak skanuje z serwera nmap localhost -vv -sS -O

to mi pokazuje Difficulty=3680465 (Good luck!)

 

A jak z zewnatrz to difficulty=8339 (Worthy challenge)

 

Juz nic nie wiem.

 

A co do zatrudnienia admina to ja na tym sewerze nie zarabiam, wiec ni oplaca mi sie zatrudniac admina.

A mam kilka innych swoich serwerów i są całkowicie bezproblemowe. Tylko z tym mam jakiegos pecha. Ktos sobie go upatrzyl i ciagle robi crash testy . A caly czas myslalem ze to forum jest wlasnie po to ze jak sie ma jakis problem to mozna tutaj szukac pomocy. ?

[Gość patrick]

Taki maly tescik zrobilem i nmap pokazuje co skanownaie inny wynik z wielka roznica :/

Wiec to raczej nie jest miarodajne

[p 3]

Dlatego powiedzialem, zebys podal co tam masz zainstalowane...

Samo difficulty nie pomoze w rozwiazywaniu problemow