Взломали сервер (nix)

Discussion in 'Безопасность и Анонимность' started by B1t.exe, 20 Oct 2014.

  1. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    У нас выделенный сервер, OpenSuse 13.
    Там крутится веб сервер, точнее хостился свой сайт.
    Как то хакнули (дефейс), потом админ восстановил все.
    И вроде забыли про это дело.
    недавно провайдер блокировал наш IP адрес сервера (у нас статический IP на веб сервер, отдельный), ссылаясь на то, что поступили многократные жалобы DDoS/spam от других провайдеров и всяких сервисов.
    Думал недоразумение это сначала, но потом вспомнил, что недавно взломали и возможно установили бэкдур или какой то бот.
    Вот теперь стоит вопрос обнаружения этого бота.
    Кто силен в NIX системах и может помочь в этом деле?
    Сервер отключен на данный момент, до выяснения причин. У меня копия диска, так что могу в офлайн варианте все посмотреть.
     
  2. VY_CMa

    VY_CMa Green member

    Joined:
    6 Jan 2012
    Messages:
    915
    Likes Received:
    482
    Reputations:
    724
    Обычно ддосовые боты на перле пишутся, находил довольно много таких, большинство общается через IRC. Ставь rkhunter, если ничего нет, грепай на распространенные фразы.
     
    _________________________
  3. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    Подключить/загрузиться возможности нету. сервер запрещают включить. только дали копию диска для ручного поиска, раз вовремя не могли защищать ))) :(
    Так что только оффлайн , только хардкор
     
  4. Steam[777]

    Steam[777] Elder - Старейшина

    Joined:
    27 Sep 2010
    Messages:
    297
    Likes Received:
    42
    Reputations:
    25
    Для поиска исходящих соединений
    Ставь HDD в другую машину, подсовывай ей шлюз(без доступа в инет) с установленным сниффером и дальше смотри куда стучит.

    Для поиска входящих
    Ставь на этот IPшник сервак с чистой осью, сниффер, и смотри кто/куда/зачем стучит.

    А потом - логи, логи, и снова логи. В общих чертах как-то так :)
    Сниффер бери любой, по вкусу. Хотя я больше WireShark люблю
     
    #4 Steam[777], 21 Oct 2014
    Last edited: 21 Oct 2014
  5. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    Неужели прокатит такое дело? например с windows_ом такая махинация не прокатит, т.к. драйвера матплаты не даст даже стартовать. надо такую же базу. а там у нас xeon платформа. вряд ли получится запустить.

    Я думал может есть общеизвестные разделы/каталоги, где могут "сесть" malware..
    эхх, чувствую мне не легко будет.
     
  6. Steam[777]

    Steam[777] Elder - Старейшина

    Joined:
    27 Sep 2010
    Messages:
    297
    Likes Received:
    42
    Reputations:
    25
    Есть смысл проверить. Кстати, win тоже часто запускается при смене железа, если нужных драйверов подкинуть
     
  7. nejtr0n

    nejtr0n New Member

    Joined:
    23 Dec 2013
    Messages:
    17
    Likes Received:
    3
    Reputations:
    1
    Если хотите извратить сущность бытия, то можете попробовать собрать образ для OpenVZ или Xen, и запустить его на виртуалке (Сразу оговорюсь, возможно это просто технически невозможно). Отчасти именно поэтому использую виртуальную инфраструктуру на выделенных серверах.
     
  8. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    мда.. и как мне быть тогда?
    офлайн варианте нельзя ничего делать ?
     
  9. C@SH!

    C@SH! New Member

    Joined:
    9 Feb 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Нормально встанет винда на другое железо, предварительно сбросив драйвера (особенно ide/sata контроллеров) на дефолтные. Сам с таким сталкивался.
     
  10. Steam[777]

    Steam[777] Elder - Старейшина

    Joined:
    27 Sep 2010
    Messages:
    297
    Likes Received:
    42
    Reputations:
    25
    Зачем тебе офлайн вариант, если в онлайном получится хороший стенд. За день - другой справишься.

    P.S. "Сброс драйверов на дефолтные" впечатлил.
     
  11. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    А получится ли этот образ виртуально запустить? на VMWare например..
    я последний раз имел дело с NIX в 2007-2008, и то часть администрировал через Webmin

    :D
    Сильно сказано )))
     
  12. Партнёр

    Joined:
    7 Sep 2010
    Messages:
    224
    Likes Received:
    67
    Reputations:
    1
    испытаешь, отпиши в ПМ пожалуйста
     
  13. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,403
    Likes Received:
    883
    Reputations:
    859
    Тут зависит и от квалификации ботовода, есть также и на пхп, и схемы работы могут быть разные, бот может висеть и на порту каком-то, а может и по крону запускаться, тут вообщем целевую систему смотреть надо.

    Может имеет смысл по новой поднять сервер? Уже с предусмотренными мерами безопасности и соотвествующем логирование?
     
    _________________________
    #13 winstrool, 22 Oct 2014
    Last edited: 22 Oct 2014
  14. Adio

    Adio Elder - Старейшина

    Joined:
    23 May 2005
    Messages:
    1,646
    Likes Received:
    147
    Reputations:
    18
    Винстон привет :(
     
  15. C@SH!

    C@SH! New Member

    Joined:
    9 Feb 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Что то смешное сказал? При смене мат. платы может смениться и контроллер для HDD, и винда не стартанет так как будет установлен левый драйвер. Сам сталкивался с таким, пришлось править реестр руками, с флешки
     
  16. Steam[777]

    Steam[777] Elder - Старейшина

    Joined:
    27 Sep 2010
    Messages:
    297
    Likes Received:
    42
    Reputations:
    25
    Ты уж определись, что ты делал - драйвер под устройство заливал в систему, или "сбрасывал его на "дефолтный""(с)(тм). Это,как говорят, две большие разницы. Подсовывать в систему нужный драйвер частенько приходится "ручками", тут вопросов никаких, а вот в плане "сброса его на дефолтный" ты явный первооткрыватель. Сорри за оффтоп.

    ТС, как там твои успехи то? Получилось отвиртуалить диск или нет? Если да, то поделись успехами; под виндой то ясно чем виртуалить, а вот никсами - вдруг пригодится
     
  17. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    Спасибо всем, мне внезапно командировали в другой город.. Вот такие дела бывают :)

    поднять все сначала-то да, но а как насчет "корпоративных политик" , надо же зрелищные сцены :D
    диск у меня в кабинете, копировали на переносной HDD, да боюсь там еще и окажется просто копия данных (типа через тотал командер данные копировали), а не образ диска.
    Как всегда, все через одно место.

    Кстати, а не вариант найти в файловом системе какие то логи или конфиг файлы, где будут следы таких программ?
     
  18. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,403
    Likes Received:
    883
    Reputations:
    859
    Вариант! но сомневаюсь, что у вас логи хранились нужное время...
     
    _________________________
  19. yoweb

    yoweb Banned

    Joined:
    17 Jun 2013
    Messages:
    120
    Likes Received:
    2
    Reputations:
    0
    нужно полностью переустановить сервер, и настроить iptables на блокировку всего, кроме нужного. И такого больше не будет. но тогда возможн ddos и чтобы его не было нужно будет платить за ddos защиту от 200$ в месяц к стоимости VPS/VDS.
     
  20. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    а в NIX системах по умолчанию сколько хранятся лог? если год хранятся, то думаю все можно найти, только вот знать где искать и что :D
    как там говорят - страшно искать черную кошку в темной комнате, а вдвойне страшнее - когда там змея :D


    Ну а ладно, если скажем все же монтирую систему, то что в этом случае искать? возможно бот не будет отстукивать к СС. хотя думаю если даже СС уже не функционирует, то боты все равно будут же отстукивать?
    А есть какие то fingerprint_ы для обнаружения трафиков от ботов?


    yoweb


    Как понадобиться ваши услуги, мы обязательно к вам обратимся ;) Пока что надо выяснить что к чему.
     
Loading...