Наши проекты:
Журнал · Discuz!ML · Wiki · DRKB · Помощь проекту |
||
ПРАВИЛА | FAQ | Помощь | Поиск | Участники | Календарь | Избранное | RSS |
[18.222.67.251] |
|
Сообщ.
#1
,
|
|
|
Всем привет! Есть подозрение, что систему порутали. Как найти и вылечить заразу? (Ubuntu 10.04 Server, VDS)
Просьба отобразить тему в подходящем разделе. *Fixed. торопился, забыл систему указать. |
Сообщ.
#2
,
|
|
|
Перво-наперво, сменить все пароли доступа в систему, конечно.
Потом, при помощи netstat -ta посмотреть открытые порты, которые не должны быть открыты, и что за процесс их открыл. Ну а дальше уже искать, что же за зараза этот процесс открывает. Да, ну и настроить iptables, конечно =) |
Сообщ.
#3
,
|
|
|
Открыты разные tcp-порты на какие-то левые адреса. По ним вероятно сканнинг ведется либо ботами, либо хз кем.
Также обновляю систему, но уже столкнулся с ерундой - отпостил в раздел *nix Вместо iptables использовал скрипт authfail, но он по ходу не работал. |
Сообщ.
#4
,
|
|
|
Цитата Мохнатый @ Ну так может так и порутали, чтоб ты не обновился. Также обновляю систему, но уже столкнулся с ерундой - отпостил в раздел *nix |
Сообщ.
#5
,
|
|
|
Цитата Мохнатый @ Вместо iptables использовал скрипт authfail Ну ты сравнил =) В идеале вообще все входящие соединения должны режектиться брандмауэром, если у тебя на машине не висит никаких серверов. А если висят, то исключительно их порты и открывать. |
Сообщ.
#6
,
|
|
|
Я iptables совсем не знаю.
Значит мне надо курить темы: 1. Как закрывать порты кроме тех, которые слушаются апачем и ssh. 2. Как банить по ip после 3-ей неудачной попытки входа через ssh. |
Сообщ.
#7
,
|
|
|
Цитата Мохнатый @ 1. Как закрывать порты кроме тех, которые слушаются апачем и ssh. #Выставляем базовые политики для входящих и исходящих пакетов - всё, что не разрешено, запрещено /sbin/iptables -P INPUT DROP /sbin/iptables -P OUTPUT DROP #Разрешаем установленные входящие соединения /sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #Разрешаем входящие пакеты на порты ssh и http/https /sbin/iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT /sbin/iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT /sbin/iptables -A INPUT -p tcp -i eth0 --dport 443 -j ACCEPT #Разрешаем установленные исходящие соединения /sbin/iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #Разрешаем себе коннектиться на удалённые порты ssh, http, https, dns, ftp, smtp (если нужно что-то ещё - проблем добавить правила возникнуть не должно) /sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 443 -j ACCEPT /sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 80 -j ACCEPT /sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 53 -j ACCEPT /sbin/iptables -A OUTPUT -p UDP -o eth0 --dport 53 -j ACCEPT /sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 25 -j ACCEPT /sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 22 -j ACCEPT /sbin/iptables -A OUTPUT -p TCP -o eth0 --dport 21 -j ACCEPT #Разрешаем пинг /sbin/iptables -A OUTPUT -p ICMP -o eth0 --icmp-type 8 -j ACCEPT Если у тебя сетевой интерфейс не eth0, а какой-то другой - замени 2. Fail2Ban |
Сообщ.
#8
,
|
|
|
Мохнатый Запастись LiveCd и сравнить длины критических файлов ps и т.п. Так или иначе в папке /proc работающей системы можно найти следы руткита, но это уже для профи.
|
Сообщ.
#9
,
|
|
|
Забыл сюда отписаться. Iptables настроил, fail2ban включил. Бан работает, вроде все спокойно. Спасибо пользователю под ником Хрен!
|
Сообщ.
#10
,
|
|
|
Еще раз сюда напишу, так как возник вопрос с iptables. Политики в INPUT и OUPUT - DROP. Есть 2 локальных сервиса - Jabber и Ferret. Они открывают задефайненные порты, которые открыты для них в iptables. При этом к Jabber'у можно подконнектиться, а для Ferret - connection timeout. Я так подозреваю, что Ferret пытается еще какой-то порт открыть и посылается нафиг. Следовательно нужно прописать правило для того, чтобы все порты для lo (localhost) были открыты. Это верно и как это можно сделать?
|
Сообщ.
#11
,
|
|
|
Ну да, локалхост вообще имеет смысл открыть.
iptables -A INPUT -i lo -s 127.0.0.0/8 -j ACCEPT iptables -A OUTPUT -o lo -d 127.0.0.0/8 -j ACCEPT |
Сообщ.
#12
,
|
|
|
Если порутали - то только перестановка системы. Или восстановление из бекапа
|
Сообщ.
#13
,
|
|
|
Я сейчас не совсем уверен, что порутали. Допускаю, что хостер сам может рассылать подобного рода письма(abuse report), чтобы админы позаботились и безопасности. Я на самом деле сделал вот что - обновил систему, чтобы заменить самые очевидные для подмены бинарники. Больше abuse не приходило, поэтому пока наблюдаю.
Теперь об iptables. lo я открыл, только сервис этот все равно не работает. |