From: Michael Shigorin <mike@osdn.org.ua> To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org> Subject: Re: [Sysadmins] osec & DoS Date: Wed, 22 Aug 2007 19:05:20 +0300 Message-ID: <20070822160520.GW8054@osdn.org.ua> (raw) In-Reply-To: <200708221828.16026.ashen@nsrz.ru> On Wed, Aug 22, 2007 at 06:28:15PM +0400, Алексей Шенцев wrote: > > > Поздно: 1) сервер запущен в работу; 2) сервак у меня завис > > > так, что даже на клаву не реагировал. На экране было такое: > > > int=eth0 его мак-адрес bla-bla-bla SRC=125.190.36.89 BTW не вижу -j log в iptables. > > > bla-bla-bla > > Фотографировать надо. > Не было под рукой чем фотать ... хотя идея ... Значит, карандашиком на бумагу из принтера. > > Более интересно другое -- какой комплект софта у тебя смотрит > > в сеть? > Что смотрит в инет: named, postfix, apache2. Остальные: squid, > proftpd, mysql слушают только локалку. Для apache2 во многие > каталоги можно попасть либо только из локалки, либо только с > определённых машин локалки. Если named -- 9.x, а apache2 -- 2.2.x посвежей, то какие-либо проблемы могли быть с тем, что на нём из веб-софта публично доступно. На будущее -- выдёргиваешь (или блокируешь) внешний канал и НЕ РЕБУТАЯ тазик, смотришь pstree (его редко пытаются троянить, даже если получили локального рута и посадили руткит с подменой бинарников). Если в нём болтается, скажем, sendmail или smbd -D, а у тебя там постфикс и самбы нет -- pstree -p, пишешь PID-ы и лезешь в /proc/PID смотреть, откуда exe растёт. Если откуда-нить из /tmp/.чтонитьэтакое и владельцем -- apache, то вот тебе и ниточка. После ребута конкретно такое можно и не найти, если /tmp/.чт* было хитрым и удалило себя в процессе выполнения (получился безымянный файл, который существует на диске, пока процесс не завершится). А вообще по forensic analysis есть куча всего, но, к сожалению, скорее помогает смотреть, как опытные люди раскапывают такие системы -- или изучать какой-нить древний редхат. С моими системами был один случай с rebuild from scratch (поскольку известная уязвимость класса remote root -- была в openssh -- и странноватое поведение системы скорее даже "по ощущениям", поскольку прямых улик не нашлось) и два -- когда был выполнен чужой процесс из-под apache; оба по причине дырявых веб-скриптов третьих людей (причём один раз я заранее проверил на наличие уязвимой библиотеки все сайты, кроме одного, который вёл очень доверенный человек -- и именно через него в ту же ночь проспамили, а второй раз -- болтался uselib24 и всё, ничего этот эксплойт сделать не мог). Перестраивать систему было очень неприятно, но необходимо, чтобы спокойно спать; остальное по изучении (благо в контейнере, так что изучать извне на наличие левых процессов и бинарников вполне получилось) к таким радикальным мерам не взывало -- решение сводилось к блокированию или обновлению веб-софта. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/
next prev parent reply other threads:[~2007-08-22 16:05 UTC|newest] Thread overview: 26+ messages / expand[flat|nested] mbox.gz Atom feed top 2007-08-22 13:13 Алексей Шенцев 2007-08-22 13:16 ` Avramenko Andrew 2007-08-22 13:29 ` Алексей Шенцев 2007-08-22 14:17 ` Michael Shigorin 2007-08-22 14:28 ` Алексей Шенцев 2007-08-22 14:33 ` Алексей Шенцев 2007-08-22 16:05 ` Michael Shigorin [this message] 2007-08-23 5:35 ` Алексей Шенцев 2007-08-23 11:58 ` Michael Shigorin 2007-08-23 12:17 ` Алексей Шенцев 2007-08-23 13:45 ` Michael Shigorin 2007-08-23 13:50 ` Konstantin A. Lepikhov 2007-08-23 14:06 ` Michael Shigorin 2007-08-23 14:20 ` Алексей Шенцев 2007-08-23 14:23 ` Konstantin A. Lepikhov 2007-08-23 17:23 ` Michael Shigorin 2007-08-23 19:04 ` Konstantin A. Lepikhov 2007-08-24 14:17 ` [Sysadmins] файловые системы Michael Shigorin 2007-08-24 9:46 ` [Sysadmins] osec & DoS Maxim Tyurin 2007-08-24 14:16 ` Michael Shigorin 2007-08-23 13:58 ` Алексей Шенцев 2007-08-23 14:02 ` Avramenko Andrew 2007-08-22 14:59 ` Alexey I. Froloff 2007-08-22 15:00 ` Алексей Шенцев 2007-08-22 15:17 ` Alexey I. Froloff 2007-08-22 20:11 ` Michael Shigorin
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20070822160520.GW8054@osdn.org.ua \ --to=mike@osdn.org.ua \ --cc=shigorin@gmail.com \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git