Тема: Сървърът ли е хакнат (Прочетена 5600 пъти)

mircata · « -: Jun 19, 2007, 10:16 »

Сутринта като дойдох на работа, колегите от офиса ми казаха, че сървърът на фирмата не работи. Т.е MySQL и Firebird не отговаряли.
Реших да погледна и видях, че процесите са спрени. След като ги пуснах, излезе, че и пощата не работи. (qmail)
При пускане на PS показва следното нещо за пощата:

Примерен код

readproctitle service errors: ...not exist?svscan:
warning: unable to stat qmail-smtpd: file does not exist?svscan:
warning: unable to stat qmail-send: file does not exist?svscan:
warning: unable to stat qmail-smtpd: file does not exist?svscan:
warning: unable to stat qmail-send: file does not exist?svscan:
warning: unable to stat qmail-smtpd: file does not exist?svscan:
warning: unable to stat qmail-send: file does not exist?

Докато гледах с top какво върви ми направи впечатление, че ъптайма на сървъра е 9 часа.
А беше над 400 дни, което ме наведе на мисълта, че е рестартирана машината.

last -20 показа нещо много странно. Имаше няколко връзки към фтп-то, след което са следните 2 реда:

Примерен код

reboot system boot 2.4.31 Tue Jun 19 00:05 (08:47)
***,q<** **m*X<y****i *****F******X*** Sun Mar 29 06:30 - crash (-15660+-13:

На мен това ми прилича като на заличаване на ред от лога. Като, че ли някой е влезнал в машината, забърсал е лога, правил е каквото е правил и е рестартирал.

Човека, който администрира сървъра е в Германия.
Аз имам минимални познания по Linux, а администрирането ми е клонящо към 0-та.
Може ли да ми дадете съвети какво мога да направя за да проверя дали нещо е променено, намазано.
Дистрибуцията е Slackware 10.1.

pink · « **Отговор #1 -:** Jun 19, 2007, 10:59 »

Ако FTP-то ти е prftpd, има remote excution flaw:

http://slackware.com/securit.....502491

Ако не си го пачнал - много вероятно да е пробив. Изключи машината и търси под дърво и камък човека от Германия дето администрира.

Желязко Желязков · « **Отговор #2 -:** Jun 19, 2007, 11:32 »

Няма смисъл да спираш машината ако ви трябва или е рутер истегли това ще провери за експлойти и некорктни логвания

rootcheck

mircata · « **Отговор #3 -:** Jun 19, 2007, 11:54 »

Да, FTP-to e proftpd. Сега ще говоря с колегата, който се е връзвал последно с FTP, какво е правил.

gat3way · « **Отговор #4 -:** Jun 19, 2007, 11:58 »

Айде да правим залози...според мен с 90% вероятност сървърът не е "хакнат". Така че ще заложа на "не е хакнат". Да залагаме по лев и с наградния фонд да почерпим спечелилите с бира

'>

pink · « **Отговор #5 -:** Jun 19, 2007, 12:10 »

Аз залагам на "хакнат". Обновяването на Slackware с пакет е кошмар за всеки администратор. 10.1 е твърде стара версия, публичен FTP сървър е примамлва плячка, особено ако има пропуск в сигурността.

pink · « **Отговор #6 -:** Jun 19, 2007, 12:14 »

Цитат (mircata @ Юни 19 2007,11:54)

Да, FTP-to e proftpd. Сега ще говоря с колегата, който се е връзвал последно с FTP, какво е правил.

Коя версия е? Може да разбереш като напишаш "proftpd --version" (като root най вероятно)

VladSun · « **Отговор #7 -:** Jun 19, 2007, 12:28 »

/off

Цитат (pink @ Юни 19 2007,12:10)

Обновяването на Slackware с пакет е кошмар за всеки администратор.

Хъх?!?
За мен не е => твоето твърдение е лъжа

'>

Желязко Желязков · « **Отговор #8 -:** Jun 19, 2007, 12:32 »

Цитат (pink @ Юни 19 2007,13:10)

Обновяването на Slackware с пакет е кошмар за всеки администратор.

Това е най голямата глупост която съм чужал от 3 - 4 години

'> сорри пич

pink · « **Отговор #9 -:** Jun 19, 2007, 12:38 »

Цитат (VladSun @ Юни 19 2007,12:28)

/off
Хъх?!?
За мен не е => твоето твърдение е лъжа

'>

"Аз винаги лъжа"

'>

Моя опит показва, че upgrade до по нова версия слакуер, няколко неща спират да работят. Напр. преди време инсталирах слак 10 мисля и KDE спря да работи защото липсваше някакви библиотека cyrus (нещо от сорта). Съжелявам VladSun и jackie - глупост или не, това е така (за мен)

gat3way · « **Отговор #10 -:** Jun 19, 2007, 12:39 »

Според мен init процеса е segfault-нал. Просто симптомите са много сходни някак си

'> А и не знам кой ще е този зъл хахор дето ще омаже така wtmp че и на всичкото отгоре после ще рестартира сървъра - трябва да е някакъв пълен олигофрен според мен

'>

Желязко Желязков · « **Отговор #11 -:** Jun 19, 2007, 12:46 »

А е доста детинско взе да става няма значение каква е дистрибуцията всяка си има своите предимства и недостатаци човека има проблем и можете да дадете някакъв по свестен отговор от глупави забилежки за пакети и т.н

VladSun · « **Отговор #12 -:** Jun 19, 2007, 12:56 »

Цитат (gat3way @ Юни 19 2007,12:39)

Според мен init процеса е segfault-нал. Просто симптомите са много сходни някак си

'> А и не знам кой ще е този зъл хахор дето ще омаже така wtmp че и на всичкото отгоре после ще рестартира сървъра - трябва да е някакъв пълен олигофрен според мен

'>

Съгласен

'>

mhydra · « **Отговор #13 -:** Jun 19, 2007, 12:59 »

преди известно време имах един познат дето имаше много интересен случай.
значи хакера беше ползвал някакъв бъг с ирц. основното което беше направил е че беше заменил репотата на федората и при последващо инсталиране на неща директно се качват хакнати пакети. много хитро

Invincible · « **Отговор #14 -:** Jun 19, 2007, 13:24 »

А пък на мен ми е много чудно кой си слага SlackWare за сървър. Има 3 дистрибуции които стават за сериозен сървър според мен и това са - Debian , RedHat и Suse. Ако искаш да имаш съпорт и да не се чудиш как да намериш админстратора, а да звъннеш на някой да му кажеш какъв ти е проблема и да ти помогне купуваш и си слагаш RedHat или Suse и готово.
П.П. Нищо не гарантира, че позването на тези 3 дистрибуции те предпазва на 100% от хакване.

Автор Тема: Сървърът ли е хакнат (Прочетена 5600 пъти)