[Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Костарев Алексей]

На один из серверов под ALTLinux регулярно полазит червь pscan2 (dalles) 
и  немеряно  отжирает интернет-трафик

Никто не сталкивался с таким зверем -  отловить и уничтожить удается  
(постфакткм)  по он продазит вновь и вновь
Что-то в Инете  я не мону найти  методы защиты от проникновения этого червя
Никто не сталкивался ?


-- 
С Уважением
Директор ООО НЕВОД
Костарев А.Ф.

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Denis Kirienko]

Костарев Алексей пишет:
> На один из серверов под ALTLinux регулярно полазит червь pscan2 (dalles) 
> и  немеряно  отжирает интернет-трафик

А что это такое? В чем проявляется? Что делает? Как запускается в 
системе вредный процесс? Под каким пользователем работает процесс?

> Никто не сталкивался с таким зверем -  отловить и уничтожить удается  
> (постфакткм)  по он продазит вновь и вновь

SSH-сервер поднят? Слабый пароль на SSH - самый распространенный метод 
взлома.

--
Денис

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Nikolay A. Fetisov]

On Fri, 15 Aug 2008 12:11:34 +0600
Костарев Алексей wrote:

> На один из серверов под ALTLinux регулярно полазит червь pscan2 (dalles) 
> и  немеряно  отжирает интернет-трафик
> ...

Точное название не помешало бы. А то есть отличия даже в теле и в
заголовке письма. pscan2 - это просто сканер, сам проникнуть
в систему он не может. Кто-то его скопировал, скомпилировал, запустил.

В целом:
- проверить пароли пользователей. Особенно если сканер запускается от
какого-то одного аккаунта. Убрать доступ по SSH для всех пользователей,
которым он не нужен;
- проверить, нет ли чего-либо ненужного/непонятного из работающих
программ, лишнее отключить;
- настроить firewall, закрыть всё ненужное из внешней из из внутренней
сетей;
- проверить содержимое файлов crontab и at на наличие закладок;
- проверить, установлены ли все доступные обновления по безопасности;
- проверить систему на наличие rootkit'ов, закладок и т.п.
- если что-то доставлялось в систему не из пакетов - проверить отдельно
и особо. Если система используется как веб-сервер - проверить
установленные веб-приложения на наличие дыр.

-- 
С уважением,	
Николай Фетисов

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Michael Shigorin]

On Fri, Aug 15, 2008 at 11:13:24AM +0400, Nikolay A. Fetisov wrote:
> В целом:
> - проверить пароли пользователей. Особенно если сканер
> запускается от какого-то одного аккаунта. Убрать доступ по SSH
> для всех пользователей, которым он не нужен;

ps auxww | grep как_его_зовут
kill -STOP обнаруженный_pid
cd /proc/$PID/
ls -l exe cwd fd/

> - проверить содержимое файлов crontab и at на наличие закладок;

У того пользователя, от которого запущен процесс; если это root,
то требуется бэкап данных и конфигурации, установка системы с
нуля и восстановление данных (конфигурации -- не tar xf, а только
проверяя глазами).

> - если что-то доставлялось в систему не из пакетов - проверить
> отдельно и особо. Если система используется как веб-сервер -
> проверить установленные веб-приложения на наличие дыр.

На будущее рекомендуется завести привычку пользоваться OpenVZ,
даже если контейнер один.  При этом доступ к HN ограничивать 
малым списком IP.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Michael Shigorin]

On Fri, Aug 15, 2008 at 12:11:34PM +0600, Костарев Алексей wrote:
> Никто не сталкивался с таким зверем -  отловить и уничтожить
> удается  (постфакткм)  по он продазит вновь и вновь
> Что-то в Инете  я не мону найти  методы защиты от проникновения
> этого червя Никто не сталкивался ?

Вы дырку затыкайте (скорее всего, слабый аккаунт или дырявое
поделие на веб-хостинге), а не "методы защиты от проникновения"
конкретно этого червя ищите.  Детальнее -- в предыдущем письме.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[spider]

Michael Shigorin пишет:
> Вы дырку затыкайте (скорее всего, слабый аккаунт или дырявое
> поделие на веб-хостинге), а не "методы защиты от проникновения"
> конкретно этого червя ищите. 
Может жить в каталоге, где атрибуты 777, например, в /dev/shm

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Michael Shigorin]

On Fri, Aug 15, 2008 at 04:48:33PM +0300, spider wrote:
> >Вы дырку затыкайте (скорее всего, слабый аккаунт или дырявое
> >поделие на веб-хостинге), а не "методы защиты от
> >проникновения" конкретно этого червя ищите. 
> Может жить в каталоге, где атрибуты 777, например, в /dev/shm

Для того и посоветовал идентифицировать процесс, заморозить его
выполнение и спокойно посмотреть в /proc, откуда именно у него
ноги растут.  Заодно и пользователя, от имени которого создан 
исполняемый файл, почти гарантированно выяснить.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Andrey Chichak]

Michael Shigorin wrote:
> On Fri, Aug 15, 2008 at 04:48:33PM +0300, spider wrote:
>   
>>> Вы дырку затыкайте (скорее всего, слабый аккаунт или дырявое
>>> поделие на веб-хостинге), а не "методы защиты от
>>> проникновения" конкретно этого червя ищите. 
>>>       
>> Может жить в каталоге, где атрибуты 777, например, в /dev/shm
>>     
>
> Для того и посоветовал идентифицировать процесс, заморозить его
> выполнение и спокойно посмотреть в /proc, откуда именно у него
> ноги растут.  Заодно и пользователя, от имени которого создан 
> исполняемый файл, почти гарантированно выяснить.
>
>   
а на будущее поставить denyhosts - даже при наличии слабых паролей очень 
ловко блокирует перебираторов логин-паролей.

в бранче его нет, но собирается в принципе практически без вопросов.

-- 
С уважением,
Андрей Чичак.
ООО "С-Плюс", г.Томск
JID: chch@kit.tomsk.ru
ICQ: 13154894

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[v.n.belyaev]

Здравствуйте, Michael.

MS> На будущее рекомендуется завести привычку пользоваться OpenVZ,
MS> даже если контейнер один.  При этом доступ к HN ограничивать 
MS> малым списком IP.
А подробнее это где-то описано?



-- 
С уважением,
 v                          mailto:v.n.belyaev@gmail.com

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Вадим Илларионов]

Denis Kirienko wrote:

> SSH-сервер поднят? Слабый пароль на SSH - самый распространенный метод
> взлома.

Если "ага":
1. Перевести SSH-сервер исключительно на вход по ключу.
2. Сгенерить ключи ТОЛЬКО тем, кому необходимо входить извне.
   Остальных - в расход по законам военного Тьюринга.
3. Ответственность за сохранность приват-ключей
   развесить на "приват-доцентов".
4. Заодно прикроетесь от брутфорса без всяких там "ссх-гардов от дебиана".
5. Но portsentry таки поспособствует дополнительной защите
   в контексте пункта № 4.
_________________________________
С уважением,
Вадим Илларионов
системный администратор
ООО "Новые Системы Телеком"
UIN: 7899517
JID: master at usib dot irkps dot ru
Телефоны:
- рабочий    +7 495 6414045+5885
- мобильный  +7 916 3889337

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Michael Shigorin]

On Sat, Aug 16, 2008 at 11:12:02AM +0700, Andrey Chichak wrote:
> а на будущее поставить denyhosts - даже при наличии слабых
> паролей очень ловко блокирует перебираторов логин-паролей.
> в бранче его нет, но собирается в принципе практически без вопросов.

Я отправлял в M40 sshutout, тоже вполне эффективно.
И тоже подумал уже по дороге на дачу. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Comm] openvz

[Michael Shigorin]

On Sat, Aug 16, 2008 at 02:35:44PM +0600, v.n.belyaev wrote:
> MS> На будущее рекомендуется завести привычку пользоваться OpenVZ,
> MS> даже если контейнер один.  При этом доступ к HN ограничивать 
> MS> малым списком IP.
> А подробнее это где-то описано?

http://www.altlinux.org/OpenVZ


On Sat, Aug 16, 2008 at 11:40:38AM +0300, Dmitriy Kruglikov wrote:
> Это не нужно описывать, это нужно _понимать_ ...

Понимание из воздуха с пылинками не рождается, а сослаться
на документацию можно и поточнее -- это ж несложно.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Костарев Алексей]

Michael Shigorin пишет:
> On Fri, Aug 15, 2008 at 12:11:34PM +0600, Костарев Алексей wrote:
>   
>> Никто не сталкивался с таким зверем -  отловить и уничтожить
>> удается  (постфакткм)  по он продазит вновь и вновь
>> Что-то в Инете  я не мону найти  методы защиты от проникновения
>> этого червя Никто не сталкивался ?
>>     
>
> Вы дырку затыкайте (скорее всего, слабый аккаунт или дырявое
> поделие на веб-хостинге), а не "методы защиты от проникновения"
> конкретно этого червя ищите.  Детальнее -- в предыдущем письме.
>
>   
Червем оказался Trojan.Linux.RST.b
Систему на компьютер мы ставили лет 5 назад.
В то время не защитили ее серьезно и оставили доступ по ssh открытым для 
всех
На этом и пострадали
Посредством червя злоумышленник получил доступ, пересобрал ssh, затер 
логи,  запустил pscan2
В общем порезвился на славу
Сейчас  систему полечили, переустановили  sshd,  зажали доступ  
настолько, насколько возможно

Кстати вопрос по ходу  -  при обновлении зараженного или пересобранного 
софта 
необходимо было переустановить пакет
apt-get install ...
это не позволял
Пришлось качать rpm-файл и переустанавливать через
rpm -i ...

Если ли какая то возможность переустановить пакет  без его удаления?

-- 
С Уважением
Директор ООО НЕВОД
Костарев А.Ф.

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Mikhail Gusarov]

[-- Attachment #1: Type: text/plain, Size: 262 bytes --]

Twas brillig at 12:36:01 21.08.2008 UTC+06 when kaf@nevod.ru did gyre and gimble:

 КА> Если ли какая то возможность переустановить пакет без его удаления?

apt-get --reinstall install <pkg>

-- 

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Костарев Алексей]

Mikhail Gusarov пишет:
> Twas brillig at 12:36:01 21.08.2008 UTC+06 when kaf@nevod.ru did gyre and gimble:
>
>  КА> Если ли какая то возможность переустановить пакет без его удаления?
>
> apt-get --reinstall install <pkg>
>
>   
Спасибо - действительно man не  догадался посмотреть
> ------------------------------------------------------------------------
>
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community


-- 
С Уважением
Директор ООО НЕВОД
Костарев А.Ф.

Re: [Comm] Заражение червем pscan2 (Delles) ALTLinux Master - методы лечения и зашиты

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 869 bytes --]

On Thu, Aug 21, 2008 at 12:36:01PM +0600, Костарев Алексей wrote:
> Посредством червя злоумышленник получил доступ, пересобрал ssh,
> затер логи,  запустил pscan2 В общем порезвился на славу
> Сейчас  систему полечили, переустановили  sshd,  зажали доступ  
> настолько, насколько возможно

Переустанавливайте, сохранив данные.  Одного sshd недостаточно,
если угораздило попасть на root compromise.

> Если ли какая то возможность переустановить пакет  без его удаления?

apt-get reinstall (или apt-get --reinstall install).

Но поверьте на слово, это не тот случай: такой системе 
доверять уже нельзя.  Заодно диски поменяйте, если они
современники исходной системы.  Им тоже после трёх-пяти
лет (зависит от типа и конкретной модели) верить нельзя.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]