* [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты
@ 2008-08-15 6:11 Костарев Алексей
2008-08-15 6:59 ` Denis Kirienko
` (2 more replies)
0 siblings, 3 replies; 16+ messages in thread
From: Костарев Алексей @ 2008-08-15 6:11 UTC (permalink / raw)
To: ALT Linux Community general discussions
На один из серверов под ALTLinux регулярно полазит червь pscan2 (dalles)
и немеряно отжирает интернет-трафик
Никто не сталкивался с таким зверем - отловить и уничтожить удается
(постфакткм) по он продазит вновь и вновь
Что-то в Инете я не мону найти методы защиты от проникновения этого червя
Никто не сталкивался ?
--
С Уважением
Директор ООО НЕВОД
Костарев А.Ф.
^ permalink raw reply [flat|nested] 16+ messages in thread* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-15 6:11 [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты Костарев Алексей @ 2008-08-15 6:59 ` Denis Kirienko 2008-08-16 8:52 ` Вадим Илларионов 2008-08-15 7:13 ` Nikolay A. Fetisov 2008-08-15 12:05 ` [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты Michael Shigorin 2 siblings, 1 reply; 16+ messages in thread From: Denis Kirienko @ 2008-08-15 6:59 UTC (permalink / raw) To: community Костарев Алексей пишет: > На один из серверов под ALTLinux регулярно полазит червь pscan2 (dalles) > и немеряно отжирает интернет-трафик А что это такое? В чем проявляется? Что делает? Как запускается в системе вредный процесс? Под каким пользователем работает процесс? > Никто не сталкивался с таким зверем - отловить и уничтожить удается > (постфакткм) по он продазит вновь и вновь SSH-сервер поднят? Слабый пароль на SSH - самый распространенный метод взлома. -- Денис ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-15 6:59 ` Denis Kirienko @ 2008-08-16 8:52 ` Вадим Илларионов 0 siblings, 0 replies; 16+ messages in thread From: Вадим Илларионов @ 2008-08-16 8:52 UTC (permalink / raw) To: community Denis Kirienko wrote: > SSH-сервер поднят? Слабый пароль на SSH - самый распространенный метод > взлома. Если "ага": 1. Перевести SSH-сервер исключительно на вход по ключу. 2. Сгенерить ключи ТОЛЬКО тем, кому необходимо входить извне. Остальных - в расход по законам военного Тьюринга. 3. Ответственность за сохранность приват-ключей развесить на "приват-доцентов". 4. Заодно прикроетесь от брутфорса без всяких там "ссх-гардов от дебиана". 5. Но portsentry таки поспособствует дополнительной защите в контексте пункта № 4. _________________________________ С уважением, Вадим Илларионов системный администратор ООО "Новые Системы Телеком" UIN: 7899517 JID: master at usib dot irkps dot ru Телефоны: - рабочий +7 495 6414045+5885 - мобильный +7 916 3889337 ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-15 6:11 [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты Костарев Алексей 2008-08-15 6:59 ` Denis Kirienko @ 2008-08-15 7:13 ` Nikolay A. Fetisov 2008-08-15 12:03 ` Michael Shigorin 2008-08-15 12:05 ` [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты Michael Shigorin 2 siblings, 1 reply; 16+ messages in thread From: Nikolay A. Fetisov @ 2008-08-15 7:13 UTC (permalink / raw) To: community On Fri, 15 Aug 2008 12:11:34 +0600 Костарев Алексей wrote: > На один из серверов под ALTLinux регулярно полазит червь pscan2 (dalles) > и немеряно отжирает интернет-трафик > ... Точное название не помешало бы. А то есть отличия даже в теле и в заголовке письма. pscan2 - это просто сканер, сам проникнуть в систему он не может. Кто-то его скопировал, скомпилировал, запустил. В целом: - проверить пароли пользователей. Особенно если сканер запускается от какого-то одного аккаунта. Убрать доступ по SSH для всех пользователей, которым он не нужен; - проверить, нет ли чего-либо ненужного/непонятного из работающих программ, лишнее отключить; - настроить firewall, закрыть всё ненужное из внешней из из внутренней сетей; - проверить содержимое файлов crontab и at на наличие закладок; - проверить, установлены ли все доступные обновления по безопасности; - проверить систему на наличие rootkit'ов, закладок и т.п. - если что-то доставлялось в систему не из пакетов - проверить отдельно и особо. Если система используется как веб-сервер - проверить установленные веб-приложения на наличие дыр. -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-15 7:13 ` Nikolay A. Fetisov @ 2008-08-15 12:03 ` Michael Shigorin 2008-08-16 8:35 ` v.n.belyaev 0 siblings, 1 reply; 16+ messages in thread From: Michael Shigorin @ 2008-08-15 12:03 UTC (permalink / raw) To: community On Fri, Aug 15, 2008 at 11:13:24AM +0400, Nikolay A. Fetisov wrote: > В целом: > - проверить пароли пользователей. Особенно если сканер > запускается от какого-то одного аккаунта. Убрать доступ по SSH > для всех пользователей, которым он не нужен; ps auxww | grep как_его_зовут kill -STOP обнаруженный_pid cd /proc/$PID/ ls -l exe cwd fd/ > - проверить содержимое файлов crontab и at на наличие закладок; У того пользователя, от которого запущен процесс; если это root, то требуется бэкап данных и конфигурации, установка системы с нуля и восстановление данных (конфигурации -- не tar xf, а только проверяя глазами). > - если что-то доставлялось в систему не из пакетов - проверить > отдельно и особо. Если система используется как веб-сервер - > проверить установленные веб-приложения на наличие дыр. На будущее рекомендуется завести привычку пользоваться OpenVZ, даже если контейнер один. При этом доступ к HN ограничивать малым списком IP. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-15 12:03 ` Michael Shigorin @ 2008-08-16 8:35 ` v.n.belyaev 0 siblings, 1 reply; 16+ messages in thread From: v.n.belyaev @ 2008-08-16 8:35 UTC (permalink / raw) To: community Здравствуйте, Michael. MS> На будущее рекомендуется завести привычку пользоваться OpenVZ, MS> даже если контейнер один. При этом доступ к HN ограничивать MS> малым списком IP. А подробнее это где-то описано? -- С уважением, v mailto:v.n.belyaev@gmail.com ^ permalink raw reply [flat|nested] 16+ messages in thread
[parent not found: <6c7be88d0808160140k1fb136d0qc6cb05ceb6125219@mail.gmail.com>]
* [Comm] openvz @ 2008-08-16 20:01 ` Michael Shigorin 0 siblings, 0 replies; 16+ messages in thread From: Michael Shigorin @ 2008-08-16 20:01 UTC (permalink / raw) To: community On Sat, Aug 16, 2008 at 02:35:44PM +0600, v.n.belyaev wrote: > MS> На будущее рекомендуется завести привычку пользоваться OpenVZ, > MS> даже если контейнер один. При этом доступ к HN ограничивать > MS> малым списком IP. > А подробнее это где-то описано? http://www.altlinux.org/OpenVZ On Sat, Aug 16, 2008 at 11:40:38AM +0300, Dmitriy Kruglikov wrote: > Это не нужно описывать, это нужно _понимать_ ... Понимание из воздуха с пылинками не рождается, а сослаться на документацию можно и поточнее -- это ж несложно. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-15 6:11 [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты Костарев Алексей 2008-08-15 6:59 ` Denis Kirienko 2008-08-15 7:13 ` Nikolay A. Fetisov @ 2008-08-15 12:05 ` Michael Shigorin 2008-08-15 13:48 ` spider 2008-08-21 6:36 ` Костарев Алексей 2 siblings, 2 replies; 16+ messages in thread From: Michael Shigorin @ 2008-08-15 12:05 UTC (permalink / raw) To: ALT Linux Community general discussions On Fri, Aug 15, 2008 at 12:11:34PM +0600, Костарев Алексей wrote: > Никто не сталкивался с таким зверем - отловить и уничтожить > удается (постфакткм) по он продазит вновь и вновь > Что-то в Инете я не мону найти методы защиты от проникновения > этого червя Никто не сталкивался ? Вы дырку затыкайте (скорее всего, слабый аккаунт или дырявое поделие на веб-хостинге), а не "методы защиты от проникновения" конкретно этого червя ищите. Детальнее -- в предыдущем письме. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-15 12:05 ` [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты Michael Shigorin @ 2008-08-15 13:48 ` spider 2008-08-15 13:50 ` Michael Shigorin 2008-08-21 6:36 ` Костарев Алексей 1 sibling, 1 reply; 16+ messages in thread From: spider @ 2008-08-15 13:48 UTC (permalink / raw) To: shigorin, ALT Linux Community general discussions Michael Shigorin пишет: > Вы дырку затыкайте (скорее всего, слабый аккаунт или дырявое > поделие на веб-хостинге), а не "методы защиты от проникновения" > конкретно этого червя ищите. Может жить в каталоге, где атрибуты 777, например, в /dev/shm ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-15 13:48 ` spider @ 2008-08-15 13:50 ` Michael Shigorin 2008-08-16 4:12 ` Andrey Chichak 0 siblings, 1 reply; 16+ messages in thread From: Michael Shigorin @ 2008-08-15 13:50 UTC (permalink / raw) To: ALT Linux Community general discussions On Fri, Aug 15, 2008 at 04:48:33PM +0300, spider wrote: > >Вы дырку затыкайте (скорее всего, слабый аккаунт или дырявое > >поделие на веб-хостинге), а не "методы защиты от > >проникновения" конкретно этого червя ищите. > Может жить в каталоге, где атрибуты 777, например, в /dev/shm Для того и посоветовал идентифицировать процесс, заморозить его выполнение и спокойно посмотреть в /proc, откуда именно у него ноги растут. Заодно и пользователя, от имени которого создан исполняемый файл, почти гарантированно выяснить. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-15 13:50 ` Michael Shigorin @ 2008-08-16 4:12 ` Andrey Chichak 2008-08-16 18:18 ` Michael Shigorin 0 siblings, 1 reply; 16+ messages in thread From: Andrey Chichak @ 2008-08-16 4:12 UTC (permalink / raw) To: shigorin, ALT Linux Community general discussions Michael Shigorin wrote: > On Fri, Aug 15, 2008 at 04:48:33PM +0300, spider wrote: > >>> Вы дырку затыкайте (скорее всего, слабый аккаунт или дырявое >>> поделие на веб-хостинге), а не "методы защиты от >>> проникновения" конкретно этого червя ищите. >>> >> Может жить в каталоге, где атрибуты 777, например, в /dev/shm >> > > Для того и посоветовал идентифицировать процесс, заморозить его > выполнение и спокойно посмотреть в /proc, откуда именно у него > ноги растут. Заодно и пользователя, от имени которого создан > исполняемый файл, почти гарантированно выяснить. > > а на будущее поставить denyhosts - даже при наличии слабых паролей очень ловко блокирует перебираторов логин-паролей. в бранче его нет, но собирается в принципе практически без вопросов. -- С уважением, Андрей Чичак. ООО "С-Плюс", г.Томск JID: chch@kit.tomsk.ru ICQ: 13154894 ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-16 4:12 ` Andrey Chichak @ 2008-08-16 18:18 ` Michael Shigorin 0 siblings, 0 replies; 16+ messages in thread From: Michael Shigorin @ 2008-08-16 18:18 UTC (permalink / raw) To: ALT Linux Community general discussions On Sat, Aug 16, 2008 at 11:12:02AM +0700, Andrey Chichak wrote: > а на будущее поставить denyhosts - даже при наличии слабых > паролей очень ловко блокирует перебираторов логин-паролей. > в бранче его нет, но собирается в принципе практически без вопросов. Я отправлял в M40 sshutout, тоже вполне эффективно. И тоже подумал уже по дороге на дачу. :) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-15 12:05 ` [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты Michael Shigorin 2008-08-15 13:48 ` spider @ 2008-08-21 6:36 ` Костарев Алексей 2008-08-21 6:39 ` Mikhail Gusarov 2008-08-21 11:23 ` Michael Shigorin 1 sibling, 2 replies; 16+ messages in thread From: Костарев Алексей @ 2008-08-21 6:36 UTC (permalink / raw) To: shigorin, ALT Linux Community general discussions Michael Shigorin пишет: > On Fri, Aug 15, 2008 at 12:11:34PM +0600, Костарев Алексей wrote: > >> Никто не сталкивался с таким зверем - отловить и уничтожить >> удается (постфакткм) по он продазит вновь и вновь >> Что-то в Инете я не мону найти методы защиты от проникновения >> этого червя Никто не сталкивался ? >> > > Вы дырку затыкайте (скорее всего, слабый аккаунт или дырявое > поделие на веб-хостинге), а не "методы защиты от проникновения" > конкретно этого червя ищите. Детальнее -- в предыдущем письме. > > Червем оказался Trojan.Linux.RST.b Систему на компьютер мы ставили лет 5 назад. В то время не защитили ее серьезно и оставили доступ по ssh открытым для всех На этом и пострадали Посредством червя злоумышленник получил доступ, пересобрал ssh, затер логи, запустил pscan2 В общем порезвился на славу Сейчас систему полечили, переустановили sshd, зажали доступ настолько, насколько возможно Кстати вопрос по ходу - при обновлении зараженного или пересобранного софта необходимо было переустановить пакет apt-get install ... это не позволял Пришлось качать rpm-файл и переустанавливать через rpm -i ... Если ли какая то возможность переустановить пакет без его удаления? -- С Уважением Директор ООО НЕВОД Костарев А.Ф. ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-21 6:36 ` Костарев Алексей @ 2008-08-21 6:39 ` Mikhail Gusarov 2008-08-21 6:44 ` Костарев Алексей 2008-08-21 11:23 ` Michael Shigorin 1 sibling, 1 reply; 16+ messages in thread From: Mikhail Gusarov @ 2008-08-21 6:39 UTC (permalink / raw) To: ALT Linux Community general discussions [-- Attachment #1: Type: text/plain, Size: 262 bytes --] Twas brillig at 12:36:01 21.08.2008 UTC+06 when kaf@nevod.ru did gyre and gimble: КА> Если ли какая то возможность переустановить пакет без его удаления? apt-get --reinstall install <pkg> -- [-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --] ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-21 6:39 ` Mikhail Gusarov @ 2008-08-21 6:44 ` Костарев Алексей 0 siblings, 0 replies; 16+ messages in thread From: Костарев Алексей @ 2008-08-21 6:44 UTC (permalink / raw) To: ALT Linux Community general discussions Mikhail Gusarov пишет: > Twas brillig at 12:36:01 21.08.2008 UTC+06 when kaf@nevod.ru did gyre and gimble: > > КА> Если ли какая то возможность переустановить пакет без его удаления? > > apt-get --reinstall install <pkg> > > Спасибо - действительно man не догадался посмотреть > ------------------------------------------------------------------------ > > _______________________________________________ > community mailing list > community@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/community -- С Уважением Директор ООО НЕВОД Костарев А.Ф. ^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты 2008-08-21 6:36 ` Костарев Алексей 2008-08-21 6:39 ` Mikhail Gusarov @ 2008-08-21 11:23 ` Michael Shigorin 1 sibling, 0 replies; 16+ messages in thread From: Michael Shigorin @ 2008-08-21 11:23 UTC (permalink / raw) To: ALT Linux Community general discussions [-- Attachment #1: Type: text/plain, Size: 869 bytes --] On Thu, Aug 21, 2008 at 12:36:01PM +0600, Костарев Алексей wrote: > Посредством червя злоумышленник получил доступ, пересобрал ssh, > затер логи, запустил pscan2 В общем порезвился на славу > Сейчас систему полечили, переустановили sshd, зажали доступ > настолько, насколько возможно Переустанавливайте, сохранив данные. Одного sshd недостаточно, если угораздило попасть на root compromise. > Если ли какая то возможность переустановить пакет без его удаления? apt-get reinstall (или apt-get --reinstall install). Но поверьте на слово, это не тот случай: такой системе доверять уже нельзя. Заодно диски поменяйте, если они современники исходной системы. Им тоже после трёх-пяти лет (зависит от типа и конкретной модели) верить нельзя. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 16+ messages in thread
end of thread, other threads:[~2008-08-21 11:23 UTC | newest] Thread overview: 16+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2008-08-15 6:11 [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты Костарев Алексей 2008-08-15 6:59 ` Denis Kirienko 2008-08-16 8:52 ` Вадим Илларионов 2008-08-15 7:13 ` Nikolay A. Fetisov 2008-08-15 12:03 ` Michael Shigorin 2008-08-16 8:35 ` v.n.belyaev 2008-08-16 20:01 ` [Comm] openvz Michael Shigorin 2008-08-15 12:05 ` [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты Michael Shigorin 2008-08-15 13:48 ` spider 2008-08-15 13:50 ` Michael Shigorin 2008-08-16 4:12 ` Andrey Chichak 2008-08-16 18:18 ` Michael Shigorin 2008-08-21 6:36 ` Костарев Алексей 2008-08-21 6:39 ` Mikhail Gusarov 2008-08-21 6:44 ` Костарев Алексей 2008-08-21 11:23 ` Michael Shigorin
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git