Что делать, если порутали? , (Ubuntu 10.04 Server, VDS)

Всем привет! Есть подозрение, что систему порутали. Как найти и вылечить заразу? (Ubuntu 10.04 Server, VDS)
Просьба отобразить тему в подходящем разделе.

*Fixed. торопился, забыл систему указать.

Сообщение отредактировано: Мохнатый - 11.01.12, 07:24

Перво-наперво, сменить все пароли доступа в систему, конечно.
Потом, при помощи netstat -ta посмотреть открытые порты, которые не должны быть открыты, и что за процесс их открыл.
Ну а дальше уже искать, что же за зараза этот процесс открывает.
Да, ну и настроить iptables, конечно =)

Открыты разные tcp-порты на какие-то левые адреса. По ним вероятно сканнинг ведется либо ботами, либо хз кем.
Также обновляю систему, но уже столкнулся с ерундой - отпостил в раздел *nix

Вместо iptables использовал скрипт authfail, но он по ходу не работал.

Цитата Мохнатый @ 11.01.12, 17:16

Также обновляю систему, но уже столкнулся с ерундой - отпостил в раздел *nix

Ну так может так и порутали, чтоб ты не обновился.

Цитата Мохнатый @ 11.01.12, 17:16

Вместо iptables использовал скрипт authfail

Ну ты сравнил =)
В идеале вообще все входящие соединения должны режектиться брандмауэром, если у тебя на машине не висит никаких серверов. А если висят, то исключительно их порты и открывать.

Я iptables совсем не знаю.
Значит мне надо курить темы:
1. Как закрывать порты кроме тех, которые слушаются апачем и ssh.
2. Как банить по ip после 3-ей неудачной попытки входа через ssh.

Цитата Мохнатый @ 12.01.12, 01:38

1. Как закрывать порты кроме тех, которые слушаются апачем и ssh.

#Выставляем базовые политики для входящих и исходящих пакетов - всё, что не разрешено, запрещено
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
 
#Разрешаем установленные входящие соединения
/sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#Разрешаем входящие пакеты на порты ssh и http/https
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT
 
#Разрешаем установленные исходящие соединения
/sbin/iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#Разрешаем себе коннектиться на удалённые порты ssh, http, https, dns, ftp, smtp (если нужно что-то ещё - проблем добавить правила возникнуть не должно)
/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p UDP -o eth0 --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 21 -j ACCEPT
 
#Разрешаем пинг
/sbin/iptables -A OUTPUT -p ICMP -o eth0 --icmp-type 8 -j ACCEPT

Если у тебя сетевой интерфейс не eth0, а какой-то другой - замени

2. Fail2Ban

Мохнатый Запастись LiveCd и сравнить длины критических файлов ps и т.п. Так или иначе в папке /proc работающей системы можно найти следы руткита, но это уже для профи.

Забыл сюда отписаться. Iptables настроил, fail2ban включил. Бан работает, вроде все спокойно. Спасибо пользователю под ником Хрен!

Еще раз сюда напишу, так как возник вопрос с iptables. Политики в INPUT и OUPUT - DROP. Есть 2 локальных сервиса - Jabber и Ferret. Они открывают задефайненные порты, которые открыты для них в iptables. При этом к Jabber'у можно подконнектиться, а для Ferret - connection timeout. Я так подозреваю, что Ferret пытается еще какой-то порт открыть и посылается нафиг. Следовательно нужно прописать правило для того, чтобы все порты для lo (localhost) были открыты. Это верно и как это можно сделать?

Ну да, локалхост вообще имеет смысл открыть.

iptables -A INPUT -i lo -s 127.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -o lo -d 127.0.0.0/8 -j ACCEPT

Если порутали - то только перестановка системы. Или восстановление из бекапа

Я сейчас не совсем уверен, что порутали. Допускаю, что хостер сам может рассылать подобного рода письма(abuse report), чтобы админы позаботились и безопасности. Я на самом деле сделал вот что - обновил систему, чтобы заменить самые очевидные для подмены бинарники. Больше abuse не приходило, поэтому пока наблюдаю.
Теперь об iptables. lo я открыл, только сервис этот все равно не работает.