Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: stanislavdavid 13. 05. 2013, 22:10:57

Název: Blokování útoku z mého serveru
Přispěvatel: stanislavdavid 13. 05. 2013, 22:10:57
Dobrý den,
poslední dva dny se mi stalo, ze vzdy na zhruba 4 minut mam extremni odchozi spojeni na jednu IP adresu. (to mi chodí od abuse mého poskytovatele). Včera jsem udělal minutové sledování jak různých info z netstatu tak se mi generuje po minutě přehled procesů.

log netstatu je delany pomoci techto prikazu

netstat -alpn |  awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -nr > $DATA
netstat -lnptu >> $DATA
netstat -anp |uniq >> $DATA


Po dnešním útoku jsem procházel tyto logy a v netstatu se tato adresa vubec neobjevuje:-(
ani v seznamu procesu se mi nezda nic podezdreleho. Delal jsem klasicke checky napr. rkhunter apdb a nic.

Netušíte jak najít to, co to způsobuje a jak tomu zabránit.

Také by mi strašně pomohlo, kdyby mi někdo poradil nějaké iptables příkazy, kterými bych mohl limitovat tyto odchozí pakety na jednu IP adresu na nějakou úroveň za sekundu.

Strašně moc díky za pomoc
Název: Re:Blokování útoku z mého serveru
Přispěvatel: Pavouk106 13. 05. 2013, 22:19:37
Pokud to bude rootkit, bude za sebou zametat. Alespoň co jsem slyšel. A pokud je to takhle zametený a stejně poskytovatel něco hlásí, tak to vypadá na rootkit.

Budu to tu dál číst, pokud to tak opravdu bude, zajímá mě to.
Název: Re:Blokování útoku z mého serveru
Přispěvatel: smoofy 14. 05. 2013, 10:28:37
To mas ten pocitac zapojeny primo na pripojku? Nemuze to byt jine zarizeni v siti treba klidne i router? Dobre by bylo vyzkouset zapojit nejake zarizeni jako transparentni bridge a scanovat a logovat provoz pres iptables a tcpdump pripadne wireshark, pac na dalsim zarizeni uvidis veskery provoz s neovlivnenymi logy.
Název: Re:Blokování útoku z mého serveru
Přispěvatel: Rhinox 14. 05. 2013, 11:22:51
Kdyz mas duvodne podezreni ze tvuj servr je kompromitovan, pak nezbyva nic jineho, jen shodit servr, vyndat disk, vlozit do jinyho, udelat disk image, a ten pak otestovat v jinem (zarucene cistem!) stroji. Zadny netstat ani rkhunter ti na kompromitovanem stroji nepomuzou...

Iptables samozrejme ma moznost omezit mnozstvi dat (--limit, --limit-burst), jenze tudy cesta nevede. Kdyz nekdo ziskal na tvem stroji root-a pak si muze delat co jen chce...
Název: Re:Blokování útoku z mého serveru
Přispěvatel: Pavouk106 14. 05. 2013, 15:15:52
Myslí si taky někdo jinej, že jde o rootkit? Myslim nezávisle na mě...

Smoofy má dobrej nápad - pustit provoz z tohohle PC přes jinej a zachytávat na tom jinym, ten případnym rootkitem ovlivněnej nebude, tam by mohla aktivita bejt vidět.
Název: Re:Blokování útoku z mého serveru
Přispěvatel: meno 14. 05. 2013, 15:28:16
napr., ake sluzby ti tam bezia? u nas na jednom serveri hackli deravy CMS a z neho sa snazili robit utoky na dalsie CMS...
Název: Re:Blokování útoku z mého serveru
Přispěvatel: gamer 14. 05. 2013, 15:32:44
rootkit to být může i nemusí, na rozhodnutí nemáme od tazatele dost informaci. Nějaké rootkity už jsem viděl a vždycky se snažily maskovat upravenými binárkami ps, ls, netstat apod. Pokud je podezření na rootkit, tak je nejlepší cesta celý stroj přeinstalovat a z původních dat použít maximálně nějaké textové konfiguráky po ruční kontrole, že v nich není nic nepatřičného.
Název: Re:Blokování útoku z mého serveru
Přispěvatel: Jim 14. 05. 2013, 15:44:34
Reinstalovat server když není nic jisté? Nevím, zkusil bych wireshark, iptraf, htop, ps a něco se musí objevit. :)
Název: Re:Blokování útoku z mého serveru
Přispěvatel: gamer 14. 05. 2013, 16:04:19
Reinstalovat server když není nic jisté? Nevím, zkusil bych wireshark, iptraf, htop, ps a něco se musí objevit. :)
Nechat produkční server být, když je podezření na rootkit? Nevím, já bych si to nevzal na triko.
Název: Re:Blokování útoku z mého serveru
Přispěvatel: Jim 14. 05. 2013, 16:48:49
Ja bych si nevzal na triko reinstalaci serveru kvuli tomu ze si Joomla sahla bez dovoleni nekam kam se necekalo...  ;) Preci neni problem to resit, kolikrat se mi na serveru objevila komunikace kterou jsem neumel hned zaradit uz ani nepocitam.
Název: Re:Blokování útoku z mého serveru
Přispěvatel: gamer 14. 05. 2013, 16:58:17
Problém je v tom, že tazatel nedokáže zjistit, jaký proces z jeho serveru komunikuje, netstat tvrdí že žádný a přitom na síti ty data fyzicky chodí, tohle už hodně smrdí.
Název: Re:Blokování útoku z mého serveru
Přispěvatel: rrrobo 14. 05. 2013, 18:45:17
V netstate, ps atd to nemusi ale stihnut vidiet ak to trva kratko. Ja by som skusil v prvom rade dat do iptables pravidlo kludne aj accept alebo hocico, alebo neutralne ked vyrobis prazdnu "chain" s default policy return a do nej posles vsetko co ide na tu IP a potom dodatocne skusit pozriet (iptables -L -v) co napocitalo (kolko paketov a velkost). Alebo potom ako ti radia vyssie nezapojit to napriamo ale cez nieco a tam to kontrolovat. Alebo switch by sa tiez mohol dat nakonfigurovat ze ten traffic ti bude davat aj na dalsi port a tam si pripojis dalsi stroj a mozes si pozerat jeho traffic.
Název: Re:Blokování útoku z mého serveru
Přispěvatel: 2012 14. 05. 2013, 20:04:44
Problém je v tom, že tazatel nedokáže zjistit, jaký proces z jeho serveru komunikuje, netstat tvrdí že žádný a přitom na síti ty data fyzicky chodí, tohle už hodně smrdí.

Vytvorit si virualizovamou gateway(treba v kvmku v brigde), pomoci routovani pres ni nasmerovat provoz do internetu, pustit tam tcpdump -A a koukat?
Název: Re:Blokování útoku z mého serveru
Přispěvatel: stanislavdavid 14. 05. 2013, 21:49:15
Omlouvam se za nekomunikaci
samozrejme problem prisel tesne pred odletem na dovolenou.
Server je bohuzel dedikovany v nemecku, takze nejde vyndat disk a dat ho jinam...samozrejme dnes se utok zase opakoval, tentokrat ale ne ctyrminutovy ale dokud jsem ho nevypnul... podarilo se mi eliminovat postupne nejake procesy az jsem zrusil dva zvlastni apache procesy. Okamzite to prestalo... Potom jsem nahral novou verzi apache. Predtim jsem znovu preinstaloval vsechny nastroje jako ps, netstat, htop
Nejlepsi na tom je, kdyz to musite vyresit behem pul  hodiny pres wifinu na letisti:-) Jeste to budu analyzovat az dorazim zitra na hotel...
Jinak server mi bezi na ubuntu 12.04 lts
Název: Re:Blokování útoku z mého serveru
Přispěvatel: gamer 14. 05. 2013, 22:05:56
Potom jsem nahral novou verzi apache. Predtim jsem znovu preinstaloval vsechny nastroje jako ps, netstat, htop

Tohle bohužel nestačí, pokud tam měl nějaký útočník práva roota a podle popisu to vypadá že ano, tak nezbývá než přeinstalovat celý stroj, protože může být kompromitované cokoliv od init skriptů, přes jakoukoliv aplikaci až po jádro, nedá se věřit ničemu.