Предупреждение о взломах Debian-систем

    Вероятно, взломали не только меня. Кто администрирует Debian-like системы, обратите внимание.

    Все началось с писем с того, что у меня на сервере кончилось место. Все 1.5Тб. Пока я пытался понять, что такое у меня произошло и что именно наполнило мои файлы mail.log & etc таким количеством записей на телефон стали приходить сообщения от моего MTA, что стало невозможно принимать входящую почту. Затем пришло письмо о том, что мой сервер участвует в спам рассылке. Поскольку я находился вообще в магазине, и у меня в руках был только телефон, то все, что я успел сделать это было:

    Установить старину Джона:

    aptitude install john

    Натравить простой перебор паролей:
    john /etc/shadow

    О ужас! Он выдал, что у меня есть пользователь spam с паролем sp4m

    понятно, что далее я сделал
    passwd -l spam
    grep SASL /var/log/mail.log
    Jun 12 16:26:15 gw postfix/smtpd[26608]: warning: unknown[41.138.185.5]: SASL LOGIN authentication failed: authentication failure

    Вытащил оттуда адрес: 41.138.185.5и заблокировал его при помощи iptables

    Потом я обновил aptitude update; aptitude full-upgrade до squeeze.

    А вот теперь я сижу и думаю, кто мне подсадил эту заразу? Это ведь был полный root-доступ, чтобы добавить пользователя. Причем, судя по-дате файла /etc/passwd это было 8 июня 2010 года, то есть почти за неделю до рассылки спама. Никаких уведомлений о remote-root-vulnerablilty я не получал, загадка, да и только.
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 55

      0
      Какие порты были открыты?
        0
        Вообще-то говоря, все те-же, что и сейчас, если Вам не сложно, запустите nmap на меня :)

        Я-то надеюсь, что только:

        iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 20 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 21 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 22 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 25 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 53 -j ACCEPT
        iptables -A block -m state --state NEW -p udp --dport 53 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 79 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 80 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 110 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 113 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 1138 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 2706:2716 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 4662 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 4662 -j ACCEPT
        iptables -A block -m state --state NEW -p udp --dport 4663 -j ACCEPT
        iptables -A block -m state --state NEW -p udp --dport 4663 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 5900:5910 -j ACCEPT
        iptables -A block -m state --state NEW -p udp --dport 30269 -j ACCEPT
        iptables -A block -m state --state NEW -p udp --dport 16698 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 27359 -j ACCEPT
        iptables -A block -m state --state NEW -p tcp --dport 20498 -j ACCEPT
      • UFO just landed and posted this here
          –4
          Файл-то /etc/passwd проверили уже свой?
          • UFO just landed and posted this here
              0
              Я эту статью тут и писал только для того, чтобы все причастные проверили свой /etc/passwd, спасибо!
              +3
              Поищите суидные перл скрипты с правами 777, проверьте логи доступа по фтп и ссх, может пароль сбрутфорсили, может пароли на фтп и ссх совпадают и их выдернули с трафика или трояном. Существуют сотни других способов скомпрометировать систему без явных уязвимостей.
                0
                Да вроде стоит монитор изменений суидный файлов! Кто-то очень ушлый был.
            +1
            Если не боитесь, дайте адрес сервера, посмотрю. Обещаю по мере возможности ничего не портить.
              0
              trak.spb.ru
                0
                Какие-то мелочи видны (ошмётки исталляшки durpala), но ничего крамольного ни nikto, ни ovs не нашли.
                  0
                  В том-то и дело, что странно все это. Ну сломали-бы веб-сервер, но ведь он не от рута работает!
            • UFO just landed and posted this here
                0
                Поясню. Смотрите, у меня не было мыслей, что подсунули нового юзера. Я подумал, что моя дочка или сын поставили себе пароль из разряда love/sex/123/god

                поэтому это первое, что пришло в голову. Да и на телефоне трудно просмотреть весь файл /etc/passwd :)
                0
                Невнятная заметка — надо искать причину взлома, а не писать глупости. Вполне вероятно что взлом прошел через какой-нибудь баговый (возможно давно не обновляемый) софт. Поэтому автору — анализ логов и переустановка системы.
                Ждем с интересом результатов.
                  +5
                  > переустановка системы

                  Вы это на полном серьёзе?
                    0
                    Если автор сможет найти через что ломали и произвести аудит системы на предмет измененных системных файлов и т.д. — разумеется в переустановке смысла нет. Но зачастую на раскопки требуется куча времени, гораздо быстрее поставить систему с ноля и перенести все настройки.
                      0
                      Там достаточно много всего установлено. И несколько некоммерческих сайтов крутится. Причем, хозяева некоторых вообще не в России живут.
                      • UFO just landed and posted this here
                    • UFO just landed and posted this here
                        0
                        ??
                        Слить систему на другой диск посекторно для анализа и полностью переустановить то, что есть — это нормально.
                          0
                          Да, нормально. Когда это время кто-то оплатит. А это мой домашний сервер.
                        0
                        Переустановка системы не unix-way. Этой инсталляции больше 10 лет.
                        А писать глупости, извините, по-другому не могу, видимо мой ущербный интеллект не позволяет писать умности.
                        • UFO just landed and posted this here
                        –8
                        >и у меня в руках был только телефон
                        он байткодом шипел в трубку или как
                        • UFO just landed and posted this here
                            0
                            буду знать, я думал только под кпк есть. набор команд выше займет минут 10
                            • UFO just landed and posted this here
                            +1
                            Извините, у меня андроид с ssh. Выполнение этих команд, плюс postsuper -d ALL заняло около двух минут, стоя в очереди у кассы Ашана.
                            +3
                            Предупреждение о взломах Debian-систем

                            К чему этот желтый заголовок?

                            P.s. Нечего на зеркало пенять, коли рожа крива
                              0
                              Благодарю за ценное и полезное замечание относительно моей рожи. Просто я с этим Дебианом живу примерно с 1998 года, и думал, что имею некоторое право кривить свою рожу. Извините, что побеспокоил.
                                –1
                                некоторое право кривить свою рожу

                                Ваше право, только это была пословица, ничего личного.
                            • UFO just landed and posted this here
                                +2
                                Золотые слова, золотые слова.
                              • UFO just landed and posted this here
                                • UFO just landed and posted this here
                                    0
                                    В общем да. Всякие nethack и прочие, у них файлы scoreимели хозяина games, а файл игры был suid. Только вот зачем ему /bin/sh, а не /bin/false — загадка!
                                    0
                                    >Потом я обновил aptitude update; aptitude full-upgrade до squeeze.
                                    testing на сервере? Да вы суровы
                                      0
                                      Есть такое дело. :) Но ведь не unstable-же! Признайте мою недостаточную суровость, а не то вызову Вас на дуэль :)
                                        0
                                        >Но ведь не unstable-же!
                                        с тестингом не так координально отличаются. Я не первый год тестинг на десктопе использую, периодически приходит мешок граблей вместе с обновлениями. Да и с безопасностью на тестинге как раз обычно хуже, чем на стейбле.
                                        • UFO just landed and posted this here
                                            0
                                            >а толпу китайских ssh root брутов все равно не волнует
                                            а меня не волнуют китайские ssh бруты — iptables наше всё!
                                            :)
                                              0
                                              Я придерживаюсь именно этого мнения.
                                                0
                                                >для стейбла апдейты раз в полгода, кроме критики, для тестинга постоянно.
                                                ну вот и зачем вам на сервере постоянно самый свежий софт? Я и на десктопе иногда огребаю проблем с новыми версиями, бывает что-нибудь ломается и отваливается из-за несовместимости

                                                >тестинг дебиана, вообще, будет постабильней многих релизов.
                                                соглашусь, но уточню: десктопных дистров :)
                                                • UFO just landed and posted this here
                                                    0
                                                    >убунта вон на SID базируется и ничего.
                                                    ну я убунту как сервер всерьез не воспринимаю, хотя многие пользуются :)

                                                    >у меня на серверах нету Xorg, так что отгребать неоткуда
                                                    я про иксы и прочие десктопные вещи и не говорил, грабли бывают и в системных вещах. Недавно вот phpmyadmin ломался. В прошлом году огреб проблем с апачем, синтаксис конфигов слегка поменялся, но этого оказалось достаточно чтобы все сломать.
                                                    • UFO just landed and posted this here
                                          0
                                          Скорее всего, все же через web скрипты получили доступ.
                                            0
                                            Пользователь web-data не имеет рутового доступа. А nginx запущен от него и php-fpm, и apache2!

                                            Так что вообще осталось загадкой, что это было. Думаю, ломанули кого-то из локальных пользователей, а потом нашли локальный exploit.
                                            –1
                                            иметь мэйл пользователей в системных аккаунтах просто тупо
                                              0
                                              У меня наоборот. Это тоже тупо?
                                                0
                                                Тоже тупо. И за это Вас ломанули.
                                                Системные аккаунты это чтобы в систему входить а не чтобы почту проверять
                                                  0
                                                  Ну хрен знает, юникс это юникс, и по ssh надо заходить, и почту там свою держать. Хотя конечно оптимально сейчас свою доменную почту отдавать на корню Google
                                                    0
                                                    большинство современные imap/pop серверов поддерживают аутентификацию из других источников кроме системного /etc/passwd — LDAP, Mysql, passwdfiles.
                                                    Таким образом разумно использовать системные пароли ТОЛЬКО для входа в систему.
                                                    В случае использования /etc/passwd для аутентификации почтовых пользователей желательно давать им шелом /bin/nologin
                                              0
                                              обычно ломают через web, root можно получить эксплоитом.
                                              смотри логи web сервера, на предмет PHP including.

                                              Only users with full accounts can post comments. Log in, please.