Автор Тема: Пробив в сигурността на уеб сървър  (Прочетена 5433 пъти)

dejuren

  • Напреднали
  • *****
  • Публикации: 1025
  • Distribution: Ubuntu, RedHat
  • Window Manager: lxde KDE4
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #15 -: Sep 05, 2012, 14:35 »
http://www.spenneberg.org/chkrootkit-mirror/
http://www.rootkit.nl/projects/rootkit_hunter.html

Най-добрия план в такава ситуация - преинсталация с нова версия на всичко + връщане на сайта от бекъп и замяна на сървъра (или само на диска му).
Активен

http://webchat.freenode.net/?channels=ubuntu-bg
The quieter you become, the more you are able to hear.
Две седмици цъкане с мишката спестяват два часа четене на документацията.

mishot

  • Напреднали
  • *****
  • Публикации: 191
  • Distribution: Fedora 16
  • Window Manager: Gnome-Shell
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #16 -: Sep 05, 2012, 15:14 »
към момента изчистих кода от файловете + спрян FTP + инсталирах mod_secure

продължавам да следя за промени


Благодаря на всички за помощта
Активен

Neo2SHYAlien

  • Напреднали
  • *****
  • Публикации: 93
  • Distribution: Debian Sid
  • Window Manager: Gnome3, E17
    • Профил
    • WWW
Re: Пробив в сигурността на уеб сървър
« Отговор #17 -: Sep 05, 2012, 17:11 »
най важното е да намериш как са влезли за да запушиш дупката
Активен

- Би ли ми казал кой път да хвана оттук? - попита Алиса.
- Зависи накъде отиваш - отвърна Котаракът.
- Все едно накъде...- каза малкото момиче.
- Тогава е все едно кой път ще вземеш - рече Котаракът.

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1262
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #18 -: Sep 05, 2012, 21:27 »
ами отдавна не.
Лошо в такъв случай може някой дупкав сървис да са изчаластрили спокойно.

най-вероятно точно така е станало.

Цитат
//off
Много ме дразнят тия RHEL производни че не позволяват dist-upgrade

е, въпрос на вкус е :)

аз лично не предпочитам dist-upgrade. доколкото знам, поддръжката на Centos 6 (а предполагам и на RHEL 5) ще е поне 10 години, така че веднъж на 10 години мога да си направя труда да инсталирам отново -- иначе се губят навици и умения ;)
Активен

the lamer's team honourable member

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1262
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #19 -: Sep 05, 2012, 21:28 »
http://www.spenneberg.org/chkrootkit-mirror/
http://www.rootkit.nl/projects/rootkit_hunter.html

Най-добрия план в такава ситуация - преинсталация с нова версия на всичко + връщане на сайта от бекъп и замяна на сървъра (или само на диска му).

 +1 [_]3
Активен

the lamer's team honourable member

savago

  • Напреднали
  • *****
  • Публикации: 84
  • Distribution: mainly OpenBSD,FreeBSD
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #20 -: Sep 05, 2012, 21:30 »
За да ти пише по фаиловете значи има права ! Провери си директорията/ийте, и фаиловете за това кой е писал по тях.
Идея е да си добавиш в disable_functions на php.ini exec,system,shell_exec ...
Според мен имаш качен уебшел.
Активен

Neo2SHYAlien

  • Напреднали
  • *****
  • Публикации: 93
  • Distribution: Debian Sid
  • Window Manager: Gnome3, E17
    • Профил
    • WWW
Re: Пробив в сигурността на уеб сървър
« Отговор #21 -: Sep 05, 2012, 23:03 »

е, въпрос на вкус е :)

аз лично не предпочитам dist-upgrade. доколкото знам, поддръжката на Centos 6 (а предполагам и на RHEL 5) ще е поне 10 години, така че веднъж на 10 години мога да си направя труда да инсталирам отново -- иначе се губят навици и умения ;)
тука съм готов да поспоря. Първо няма много умения в една инсталация, по скоро в настройктие но като правиш преинсталация обикновено си прехвърляш конфа като за по лесно. Отделно че след 10 години като изтече времето на съпорт тогава Debian/Slac-а ми ще са на 10+ години без преинсталация и не претендират за гръмкото име enterprise :) Не е много enterprise да спираш преинсталираш и прочие не може да се избегне ама все пак идеята е да се сведе това до минимум.
Активен

- Би ли ми казал кой път да хвана оттук? - попита Алиса.
- Зависи накъде отиваш - отвърна Котаракът.
- Все едно накъде...- каза малкото момиче.
- Тогава е все едно кой път ще вземеш - рече Котаракът.

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1262
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #22 -: Sep 05, 2012, 23:57 »

е, въпрос на вкус е :)

аз лично не предпочитам dist-upgrade. доколкото знам, поддръжката на Centos 6 (а предполагам и на RHEL 5) ще е поне 10 години, така че веднъж на 10 години мога да си направя труда да инсталирам отново -- иначе се губят навици и умения ;)
тука съм готов да поспоря. Първо няма много умения в една инсталация, по скоро в настройктие но като правиш преинсталация обикновено си прехвърляш конфа като за по лесно. Отделно че след 10 години като изтече времето на съпорт тогава Debian/Slac-а ми ще са на 10+ години без преинсталация и не претендират за гръмкото име enterprise :) Не е много enterprise да спираш преинсталираш и прочие не може да се избегне ама все пак идеята е да се сведе това до минимум.

Ами давай тогава -- много обичам да предизвиквам флеймове ;)

Това за знанията и уменията е казано фигуративно -- приеми, че говоря за навици и умения при конфигуриране на системата (макар, че понятието „резервни копия“ също ми е известно).

Второ, за престоя на някой сървър за преинсталация -- ако имам сървър, който е работил 10 години без проблеми, при изтичането на поддръжката на дистрибуцията, която ползвам, най-вероятно той вече ще е хардуерна антика и най-логичното ще е да бъде сменен с нов такъв. От там нататък е ясно как се процедира.

Да не говорим, че една минимална инсталация на Red Hat EL 6/Centos 6/Scientific Linux е по-малко от 30 минути. Още толкова сложи за качването на специфични пакети, които ти трябват допълнително. И ако имаш резервно копие на /etc и всичкото останало конфигурационни файлове, може за час и половина да имаш възстановена система, годна за работа и то направена на ръка. А ако си по-окумуш администратор и си създал скриптове за тази работа, даже може да успееш и за по-кратко време да си готов (imho).

Освен всичко друго, dist-upgrade е перфектната ситуация за демонстриране действието на някои от законите на Мърфи.

Та така, както казах -- въпрос на вкус :D
Активен

the lamer's team honourable member

go_fire

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 8780
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: Пробив в сигурността на уеб сървър
« Отговор #23 -: Sep 06, 2012, 14:21 »
ddantgwyn да не забравяме, че Дебиан, не е Убунту и там е гарантирано, че надграждането във версия ще протече по план. Нали точно за това са тия многомесечни замразявания и не знам си какво, дето толкова дразнят потребителите. Те са, за да се гарантира, че всичко е отстраненио, издялкано, полирано и „клиента“ получава марка Дебиан.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1262
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #24 -: Sep 06, 2012, 18:48 »
ddantgwyn да не забравяме, че Дебиан, не е Убунту и там е гарантирано, че надграждането във версия ще протече по план. Нали точно за това са тия многомесечни замразявания и не знам си какво, дето толкова дразнят потребителите. Те са, за да се гарантира, че всичко е отстраненио, издялкано, полирано и „клиента“ получава марка Дебиан.

хайде сега, флейм ли се опитваш да създадеш :)

акцентът ми е на друго място, а не върху дистрибуциите -- при 10 години живот на една дистрибуция, в момента в който изтече поддръжката и, обикновено желязото и вече е достатъчно остаряло за да бъде подменено и то.

чисто инженерен подход и може би донякъде разлика във философията ;)
Активен

the lamer's team honourable member

go_fire

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 8780
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: Пробив в сигурността на уеб сървър
« Отговор #25 -: Sep 06, 2012, 18:57 »
За съжаление Дебиан не е „корпоративен“ и никой доброволно не се занимава с поддръжка за декада. Поддръжката е до следващата версия. В исторически план това се е движило между 1,5 и 3 години.

Флейм с теб би ме било страх да водя  :P
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

Bogo

  • Напреднали
  • *****
  • Публикации: 632
  • Distribution: Debian
  • Window Manager: cmd
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #26 -: Sep 08, 2012, 17:33 »
това видях засега в лога:
Sep  4 04:39:45 webserver proftpd[21621]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:47 webserver proftpd[21622]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:48 webserver proftpd[21623]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:50 webserver proftpd[21624]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 04:39:52 webserver proftpd[21625]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abraham: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:49 webserver proftpd[23156]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER aaron: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:51 webserver proftpd[23157]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abbott: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:53 webserver proftpd[23158]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abel: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]
Sep  4 07:54:55 webserver proftpd[23159]: 127.0.0.1 (::ffff:61.160.211.4[::ffff:61.160.211.4]) - USER abner: no such user found from ::ffff:61.160.211.4 [::ffff:61.160.211.4]

това е част от лога, започват от A-Z(всякакви комбинации)

Имаш ли инсталиран фаил2бан ?
Активен

live free or die хард :)

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1262
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #27 -: Sep 08, 2012, 20:37 »
За съжаление Дебиан не е „корпоративен“ и никой доброволно не се занимава с поддръжка за декада. Поддръжката е до следващата версия. В исторически план това се е движило между 1,5 и 3 години.

аха, започваш да схващаш  ;)

но за твое успокоение ще кажа, че Debian е единствената друга дистрибуция, която има моето уважение. И единствената причина да не я ползвам е чисто хронологическа -- първо започнах с Red Hat и така си и останах на rpm базираните дистрибуции.

Цитат
Флейм с теб би ме било страх да водя  :P

даже и на няколко ракии?! това не мога да го повярвам :D
Активен

the lamer's team honourable member

go_fire

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 8780
  • Distribution: Дебиан Сид
  • Window Manager: ROX-Desktop / е17
  • кашик с гранатомет в танково поделение
    • Профил
    • WWW
Re: Пробив в сигурността на уеб сървър
« Отговор #28 -: Sep 08, 2012, 20:45 »
5.т.


Както ти казах на друго място (сещаш се кое) теб те имам доста високо в йерархията, приемам те за мой, много важен учител. Дори пиян (а нямам толкоз пари да се напия) не бих посегнал. Учителя е нещо свещено.

Ще дам пример с някой тук, дето няма да назова, но ще се сетиш. Той пребивава в ЧР. Знае повече, от колкото ще науча за пет живота. Но този някой има много лошо отношение към всичко, в което вярвам. От него съм научил само, че съществува xv.

В миналото много се дърпах с него. Сега не го правя, защото това е безсмислено. Нито той ще си промени позицията, нито аз ще го уважавам, хептем пък страничен няма да разбере, за какво иде реч.
Активен

В $por4e2 e истината  ;)

***

Aко даваха стипендия за най-глупави, щях да съм човека с най-много Mини Kупъри

***

Reborn since 1998 || 15.09.2007 totally М$ free && conscience clear

ddantgwyn

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 1262
    • Профил
Re: Пробив в сигурността на уеб сървър
« Отговор #29 -: Sep 08, 2012, 21:47 »
5.т.


Както ти казах на друго място (сещаш се кое) теб те имам доста високо в йерархията, приемам те за мой, много важен учител. Дори пиян (а нямам толкоз пари да се напия) не бих посегнал. Учителя е нещо свещено.

Ще дам пример с някой тук, дето няма да назова, но ще се сетиш. Той пребивава в ЧР. Знае повече, от колкото ще науча за пет живота. Но този някой има много лошо отношение към всичко, в което вярвам. От него съм научил само, че съществува xv.

В миналото много се дърпах с него. Сега не го правя, защото това е безсмислено. Нито той ще си промени позицията, нито аз ще го уважавам, хептем пък страничен няма да разбере, за какво иде реч.

[_]3

но спирам дотук, че рискувам марчето пак да ме скастри за разводняване на тема и ще е права този път ;)

надявам се образът с пробива в сигурността да се е оправил сравнително лесно и безболезнено.
Активен

the lamer's team honourable member