From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Wed, 22 Aug 2007 19:05:20 +0300 From: Michael Shigorin To: ALT Linux sysadmin discuss Message-ID: <20070822160520.GW8054@osdn.org.ua> Mail-Followup-To: ALT Linux sysadmin discuss References: <200708221713.05205.ashen@nsrz.ru> <200708221729.18382.ashen@nsrz.ru> <20070822141703.GV8054@osdn.org.ua> <200708221828.16026.ashen@nsrz.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <200708221828.16026.ashen@nsrz.ru> User-Agent: Mutt/1.4.2.1i Subject: Re: [Sysadmins] osec & DoS X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: shigorin@gmail.com, ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 22 Aug 2007 16:05:22 -0000 Archived-At: List-Archive: On Wed, Aug 22, 2007 at 06:28:15PM +0400, Алексей Шенцев wrote: > > > Поздно: 1) сервер запущен в работу; 2) сервак у меня завис > > > так, что даже на клаву не реагировал. На экране было такое: > > > int=eth0 его мак-адрес bla-bla-bla SRC=125.190.36.89 BTW не вижу -j log в iptables. > > > bla-bla-bla > > Фотографировать надо. > Не было под рукой чем фотать ... хотя идея ... Значит, карандашиком на бумагу из принтера. > > Более интересно другое -- какой комплект софта у тебя смотрит > > в сеть? > Что смотрит в инет: named, postfix, apache2. Остальные: squid, > proftpd, mysql слушают только локалку. Для apache2 во многие > каталоги можно попасть либо только из локалки, либо только с > определённых машин локалки. Если named -- 9.x, а apache2 -- 2.2.x посвежей, то какие-либо проблемы могли быть с тем, что на нём из веб-софта публично доступно. На будущее -- выдёргиваешь (или блокируешь) внешний канал и НЕ РЕБУТАЯ тазик, смотришь pstree (его редко пытаются троянить, даже если получили локального рута и посадили руткит с подменой бинарников). Если в нём болтается, скажем, sendmail или smbd -D, а у тебя там постфикс и самбы нет -- pstree -p, пишешь PID-ы и лезешь в /proc/PID смотреть, откуда exe растёт. Если откуда-нить из /tmp/.чтонитьэтакое и владельцем -- apache, то вот тебе и ниточка. После ребута конкретно такое можно и не найти, если /tmp/.чт* было хитрым и удалило себя в процессе выполнения (получился безымянный файл, который существует на диске, пока процесс не завершится). А вообще по forensic analysis есть куча всего, но, к сожалению, скорее помогает смотреть, как опытные люди раскапывают такие системы -- или изучать какой-нить древний редхат. С моими системами был один случай с rebuild from scratch (поскольку известная уязвимость класса remote root -- была в openssh -- и странноватое поведение системы скорее даже "по ощущениям", поскольку прямых улик не нашлось) и два -- когда был выполнен чужой процесс из-под apache; оба по причине дырявых веб-скриптов третьих людей (причём один раз я заранее проверил на наличие уязвимой библиотеки все сайты, кроме одного, который вёл очень доверенный человек -- и именно через него в ту же ночь проспамили, а второй раз -- болтался uselib24 и всё, ничего этот эксплойт сделать не мог). Перестраивать систему было очень неприятно, но необходимо, чтобы спокойно спать; остальное по изучении (благо в контейнере, так что изучать извне на наличие левых процессов и бинарников вполне получилось) к таким радикальным мерам не взывало -- решение сводилось к блокированию или обновлению веб-софта. -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/