В последнее время множество систем моих друзей было скомпрометировано дырявым proftpd, разработчики данного продукта не спешат с обновлениями (их тоже поломали) и этот продукт чаще становится слабым местом в системе.
Симптомы:
Обычно это системы FreeBSD ветки 7.X
В логах и еррорах Апатча появляется следущее:
62.149.226.66 - - [12/Dec/2010:01:42:35 +0000] "GET /doesnotexist.hax HTTP/1.1" 404 214 "-" "crimscan/1.2" 184.168.117.234 - - [12/Dec/2010:01:53:40 +0000] "GET /doesnotexist.hax HTTP/1.1" 404 214 "-" "crimscan/1.2" [Sun Dec 12 01:42:35 2010] [error] [client 62.149.226.66] File does not exist: /home/pub/public_html/doesnotexist.hax [Sun Dec 12 01:53:40 2010] [error] [client 184.168.117.234] File does not exist: /home/pub/public_html/doesnotexist.hax
Далее в директории /etc образуются следующие файлы
-rwxrwxrwx 1 root wheel 23267 Dec 12 01:54 hyfrsywhowagmhg -rwxrwxrwx 1 root wheel 23267 Dec 12 01:54 oaayusejjghapdr -rwxrwxrwx 1 root wheel 23267 Dec 12 01:43 odckuxcuudcsfng -rwxrwxrwx 1 root wheel 23267 Dec 12 01:43 uuvsnjutntkdjul
Далее дохнет proftp со логами:
Dec 12 01:42:38 spider proftpd[98750]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11) Dec 12 01:42:42 spider proftpd[98751]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11) Dec 12 01:42:45 spider proftpd[98752]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11) ~~
Потом созданные в /etc файлы слушают 21 порт вместо proftpd:
# sockstat | grep 21 root oaayusejjg 99348 0 tcp4 192.168.0.100:21 184.168.117.234:48814 root hyfrsywhow 99322 0 tcp4 192.168.0.100:21 184.168.117.234:36683 root uuvsnjutnt 98816 0 tcp4 192.168.0.100:21 62.149.226.66:37237 root odckuxcuud 98790 0 tcp4 192.168.0.100:21 62.149.226.66:58649
По очереди соединяются на хост 184.171.166.162:40808
root hyfrsywhow 99322 2 tcp4 192.168.111.100:61389 184.171.166.162:40808 *Dec 12 12:00:29.746: %SEC-6-IPACCESSLOGP: list Vlan192_In denied tcp 192.168.111.100(49788) -> 184.171.166.162(40808), 1 packet
Вот еще одна тема взломов:
Взломан сервер freebsd 7.0 (jail)
И так первое, что вы должны делать при любом подозрении о взломах.
1. отключить сервис (при возможности отключить клетку от сети если ее поломали (при тяжелых случаях отключаем сервер если он рядом)
2. проверяем cron (/etc/crontab /var/cron/tabs) и atq на наличие "забавных" заданий
3. скопируйте все ваши данные на другой носитель
4. поищите в инете имена всех "странных" файлов поскольку это могут быть обломки оставленными каким нибудь руткитом с последующими выводами
5. попробуйте убить странные демоны, но осторожно
6. обновите ПО и систему(или переустановите в тяжелых случаях) со сменой паролей
Что периодично можно делать.
1. периодически заглядывайте в top следите за загрузкой системы
2. читайте логи и сообщения с ОС
3. смотрите что в /tmp и /var/tmp и не забывайте чистить + использовать nosuid
И как рекомендация от меня это заменить proftpd на более стабильный ftp сервер к примеру на Pure-FTPd
Theme by Danetsoft and Danang Probo Sayekti inspired by Maksimer
