From: Michael Shigorin <mike@osdn.org.ua>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] osec & DoS
Date: Wed, 22 Aug 2007 19:05:20 +0300
Message-ID: <20070822160520.GW8054@osdn.org.ua> (raw)
In-Reply-To: <200708221828.16026.ashen@nsrz.ru>
On Wed, Aug 22, 2007 at 06:28:15PM +0400, Алексей Шенцев wrote:
> > > Поздно: 1) сервер запущен в работу; 2) сервак у меня завис
> > > так, что даже на клаву не реагировал. На экране было такое:
> > > int=eth0 его мак-адрес bla-bla-bla SRC=125.190.36.89
BTW не вижу -j log в iptables.
> > > bla-bla-bla
> > Фотографировать надо.
> Не было под рукой чем фотать ... хотя идея ...
Значит, карандашиком на бумагу из принтера.
> > Более интересно другое -- какой комплект софта у тебя смотрит
> > в сеть?
> Что смотрит в инет: named, postfix, apache2. Остальные: squid,
> proftpd, mysql слушают только локалку. Для apache2 во многие
> каталоги можно попасть либо только из локалки, либо только с
> определённых машин локалки.
Если named -- 9.x, а apache2 -- 2.2.x посвежей, то какие-либо
проблемы могли быть с тем, что на нём из веб-софта публично
доступно.
На будущее -- выдёргиваешь (или блокируешь) внешний канал
и НЕ РЕБУТАЯ тазик, смотришь pstree (его редко пытаются троянить,
даже если получили локального рута и посадили руткит с подменой
бинарников). Если в нём болтается, скажем, sendmail или smbd -D,
а у тебя там постфикс и самбы нет -- pstree -p, пишешь PID-ы
и лезешь в /proc/PID смотреть, откуда exe растёт. Если
откуда-нить из /tmp/.чтонитьэтакое и владельцем -- apache,
то вот тебе и ниточка.
После ребута конкретно такое можно и не найти, если /tmp/.чт*
было хитрым и удалило себя в процессе выполнения (получился
безымянный файл, который существует на диске, пока процесс
не завершится).
А вообще по forensic analysis есть куча всего, но, к сожалению,
скорее помогает смотреть, как опытные люди раскапывают такие
системы -- или изучать какой-нить древний редхат.
С моими системами был один случай с rebuild from scratch
(поскольку известная уязвимость класса remote root -- была
в openssh -- и странноватое поведение системы скорее даже
"по ощущениям", поскольку прямых улик не нашлось) и два
-- когда был выполнен чужой процесс из-под apache; оба по
причине дырявых веб-скриптов третьих людей (причём один раз
я заранее проверил на наличие уязвимой библиотеки все сайты,
кроме одного, который вёл очень доверенный человек -- и именно
через него в ту же ночь проспамили, а второй раз -- болтался
uselib24 и всё, ничего этот эксплойт сделать не мог).
Перестраивать систему было очень неприятно, но необходимо,
чтобы спокойно спать; остальное по изучении (благо в контейнере,
так что изучать извне на наличие левых процессов и бинарников
вполне получилось) к таким радикальным мерам не взывало --
решение сводилось к блокированию или обновлению веб-софта.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
next prev parent reply other threads:[~2007-08-22 16:05 UTC|newest]
Thread overview: 26+ messages / expand[flat|nested] mbox.gz Atom feed top
2007-08-22 13:13 Алексей Шенцев
2007-08-22 13:16 ` Avramenko Andrew
2007-08-22 13:29 ` Алексей Шенцев
2007-08-22 14:17 ` Michael Shigorin
2007-08-22 14:28 ` Алексей Шенцев
2007-08-22 14:33 ` Алексей Шенцев
2007-08-22 16:05 ` Michael Shigorin [this message]
2007-08-23 5:35 ` Алексей Шенцев
2007-08-23 11:58 ` Michael Shigorin
2007-08-23 12:17 ` Алексей Шенцев
2007-08-23 13:45 ` Michael Shigorin
2007-08-23 13:50 ` Konstantin A. Lepikhov
2007-08-23 14:06 ` Michael Shigorin
2007-08-23 14:20 ` Алексей Шенцев
2007-08-23 14:23 ` Konstantin A. Lepikhov
2007-08-23 17:23 ` Michael Shigorin
2007-08-23 19:04 ` Konstantin A. Lepikhov
2007-08-24 14:17 ` [Sysadmins] файловые системы Michael Shigorin
2007-08-24 9:46 ` [Sysadmins] osec & DoS Maxim Tyurin
2007-08-24 14:16 ` Michael Shigorin
2007-08-23 13:58 ` Алексей Шенцев
2007-08-23 14:02 ` Avramenko Andrew
2007-08-22 14:59 ` Alexey I. Froloff
2007-08-22 15:00 ` Алексей Шенцев
2007-08-22 15:17 ` Alexey I. Froloff
2007-08-22 20:11 ` Michael Shigorin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20070822160520.GW8054@osdn.org.ua \
--to=mike@osdn.org.ua \
--cc=shigorin@gmail.com \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git