[Sysadmins] Подозрение на вторжение?

[Sysadmins] Подозрение на вторжение?

[Eugine Kosenko]

Система -- ALT Linux Server 4.0

Извиняюсь за, возможно, ламерский вопрос, но недавно был обнаружен
взлом сервера. Кое-что удалось почистить с помощью netstat/lsof, но
даже после этого nmap выдает:

PORT     STATE    SERVICE
135/tcp  filtered msrpc
136/tcp  filtered profile
137/tcp  filtered netbios-ns
138/tcp  filtered netbios-dgm
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
593/tcp  filtered http-rpc-epmap
8000/tcp filtered http-alt

Конкретно взлом был обнаружен на порту 8000, соответствующий сервис
был обнаружен через netstat и прибит, результат проверен через telnet.
Теперь ни по этому ни по остальным портам netstat -anp и lsof -i
никакой информации не дают.

Странно и то, что локальный nmap этих портов не показывает, их можно
увидеть только извне.

Вопрос: это особенности, или в системе таки еще живет какая-то
гадость? Если последнее, то что это может быть и как это можно
отловить?

Еще раз извиняюсь за, возможно, глупые вопросы.

Re: [Sysadmins] Подозрение на вторжение?

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 553 bytes --]

On Tue, Oct 14, 2008 at 09:16:48PM +0300, Eugine Kosenko wrote:
> Странно и то, что локальный nmap этих портов не показывает, их можно
> увидеть только извне.
Ну так провайдер фильтрует (могли б и не уточнять, что так только извне).

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

userspace-пакеты не должны иметь зависимостей (requires/conflicts) на
kernel-space пакеты, ибо последних может быть много при том, что
используются они не все.

Всё, что мы можем сделать - это runtime checks.
		-- ldv in devel-kernel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] Подозрение на вторжение?

[Eugine Kosenko]

2008/10/14 Andrey Rahmatullin <wrar@altlinux.ru>:
> On Tue, Oct 14, 2008 at 09:16:48PM +0300, Eugine Kosenko wrote:
>> Странно и то, что локальный nmap этих портов не показывает, их можно
>> увидеть только извне.
> Ну так провайдер фильтрует (могли б и не уточнять, что так только извне).

Так стоит беспокоиться, или это показано состояние фильтров провайдера?

Re: [Sysadmins] Подозрение на вторжение?

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 331 bytes --]

On Tue, Oct 14, 2008 at 09:41:03PM +0300, Eugine Kosenko wrote:
> Так стоит беспокоиться, или это показано состояние фильтров провайдера?
Я ж сказал, что 2-е.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

В принципе можно сделать все.  На практике интересно то, что уже
есть.
		-- mike in devel@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] Подозрение на вторжение?

[Michael Shigorin]

On Tue, Oct 14, 2008 at 09:16:48PM +0300, Eugine Kosenko wrote:
> Система -- ALT Linux Server 4.0 Извиняюсь за, возможно,
> ламерский вопрос, но недавно был обнаружен взлом сервера.

Дырявый веб-скрипт или слабый логин подобрали?

(выяснение начинается с kill -STOP выясненного при помощи
netstat -pan и рассмотрения /proc/$H4X0R_PID/fd/, а также
прав на обнаруженный скрипт или бинарник)

> Кое-что удалось почистить с помощью netstat/lsof

На будущее: если есть подозрение, что получили не только шелл,
а и рута, может пригодиться pstree.  Похоже, пока мало в каких
руткитах учтено существование этой утилиты.

Ну и даже если контейнер один -- его крайне осмысленно засунуть
под ovz.

> но даже после этого nmap выдает:

Провайдер, как уже и сказали.

> Конкретно взлом был обнаружен на порту 8000, соответствующий
> сервис был обнаружен через netstat и прибит, результат проверен
> через telnet.  Теперь ни по этому ни по остальным портам
> netstat -anp и lsof -i никакой информации не дают.

Ты теперь созрел сделать полиси цепочки INPUT вида DROP или 
в эквиваленте с REJECT --reject-with icmp-port-unreachable? :)

> Еще раз извиняюсь за, возможно, глупые вопросы.

Ничего, в таких делах лучше переспросить, чем перегадать.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Подозрение на вторжение?

[Eugine Kosenko]

2008/10/15 Michael Shigorin <mike@osdn.org.ua>:
> On Tue, Oct 14, 2008 at 09:16:48PM +0300, Eugine Kosenko wrote:
>> Система -- ALT Linux Server 4.0 Извиняюсь за, возможно,
>> ламерский вопрос, но недавно был обнаружен взлом сервера.
>
> Дырявый веб-скрипт или слабый логин подобрали?

Даже не знаю... Скорее всего, скрипт, пользователь для запуска был
новый создан, от него сервис и запустился.

> Ну и даже если контейнер один -- его крайне осмысленно засунуть
> под ovz.

Уже читаю... "Искаропки" оно не взлетело, разбираюсь по полной программе...

> Ты теперь созрел сделать полиси цепочки INPUT вида DROP или
> в эквиваленте с REJECT --reject-with icmp-port-unreachable? :)

Да это сразу было сделано, чтобы отсечь вредный траффик.

Re: [Sysadmins] Подозрение на вторжение?

[Michael Shigorin]

On Thu, Oct 16, 2008 at 05:20:13PM +0300, Eugine Kosenko wrote:
> > Ну и даже если контейнер один -- его крайне осмысленно
> > засунуть под ovz.
> Уже читаю... "Искаропки" оно не взлетело, разбираюсь по полной
> программе...

http://www.altlinux.org/OpenVZ

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Подозрение на вторжение?

[Konstantin A. Lepikhov]

Hi Michael!

Sunday 19, at 05:37:45 PM you wrote:

> On Thu, Oct 16, 2008 at 05:20:13PM +0300, Eugine Kosenko wrote:
> > > Ну и даже если контейнер один -- его крайне осмысленно
> > > засунуть под ovz.
> > Уже читаю... "Искаропки" оно не взлетело, разбираюсь по полной
> > программе...
> 
> http://www.altlinux.org/OpenVZ
Кстати, я бы еще сюда разместил ссылку на обсуждение об "открытости"
разработки OpenVZ, чтобы народ раньше времени не обольщался :)

-- 
WBR et al.