Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: stanislavdavid 13. 05. 2013, 22:10:57
-
Dobrý den,
poslední dva dny se mi stalo, ze vzdy na zhruba 4 minut mam extremni odchozi spojeni na jednu IP adresu. (to mi chodí od abuse mého poskytovatele). Včera jsem udělal minutové sledování jak různých info z netstatu tak se mi generuje po minutě přehled procesů.
log netstatu je delany pomoci techto prikazu
netstat -alpn | awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -nr > $DATA
netstat -lnptu >> $DATA
netstat -anp |uniq >> $DATA
Po dnešním útoku jsem procházel tyto logy a v netstatu se tato adresa vubec neobjevuje:-(
ani v seznamu procesu se mi nezda nic podezdreleho. Delal jsem klasicke checky napr. rkhunter apdb a nic.
Netušíte jak najít to, co to způsobuje a jak tomu zabránit.
Také by mi strašně pomohlo, kdyby mi někdo poradil nějaké iptables příkazy, kterými bych mohl limitovat tyto odchozí pakety na jednu IP adresu na nějakou úroveň za sekundu.
Strašně moc díky za pomoc
-
Pokud to bude rootkit, bude za sebou zametat. Alespoň co jsem slyšel. A pokud je to takhle zametený a stejně poskytovatel něco hlásí, tak to vypadá na rootkit.
Budu to tu dál číst, pokud to tak opravdu bude, zajímá mě to.
-
To mas ten pocitac zapojeny primo na pripojku? Nemuze to byt jine zarizeni v siti treba klidne i router? Dobre by bylo vyzkouset zapojit nejake zarizeni jako transparentni bridge a scanovat a logovat provoz pres iptables a tcpdump pripadne wireshark, pac na dalsim zarizeni uvidis veskery provoz s neovlivnenymi logy.
-
Kdyz mas duvodne podezreni ze tvuj servr je kompromitovan, pak nezbyva nic jineho, jen shodit servr, vyndat disk, vlozit do jinyho, udelat disk image, a ten pak otestovat v jinem (zarucene cistem!) stroji. Zadny netstat ani rkhunter ti na kompromitovanem stroji nepomuzou...
Iptables samozrejme ma moznost omezit mnozstvi dat (--limit, --limit-burst), jenze tudy cesta nevede. Kdyz nekdo ziskal na tvem stroji root-a pak si muze delat co jen chce...
-
Myslí si taky někdo jinej, že jde o rootkit? Myslim nezávisle na mě...
Smoofy má dobrej nápad - pustit provoz z tohohle PC přes jinej a zachytávat na tom jinym, ten případnym rootkitem ovlivněnej nebude, tam by mohla aktivita bejt vidět.
-
napr., ake sluzby ti tam bezia? u nas na jednom serveri hackli deravy CMS a z neho sa snazili robit utoky na dalsie CMS...
-
rootkit to být může i nemusí, na rozhodnutí nemáme od tazatele dost informaci. Nějaké rootkity už jsem viděl a vždycky se snažily maskovat upravenými binárkami ps, ls, netstat apod. Pokud je podezření na rootkit, tak je nejlepší cesta celý stroj přeinstalovat a z původních dat použít maximálně nějaké textové konfiguráky po ruční kontrole, že v nich není nic nepatřičného.
-
Reinstalovat server když není nic jisté? Nevím, zkusil bych wireshark, iptraf, htop, ps a něco se musí objevit. :)
-
Reinstalovat server když není nic jisté? Nevím, zkusil bych wireshark, iptraf, htop, ps a něco se musí objevit. :)
Nechat produkční server být, když je podezření na rootkit? Nevím, já bych si to nevzal na triko.
-
Ja bych si nevzal na triko reinstalaci serveru kvuli tomu ze si Joomla sahla bez dovoleni nekam kam se necekalo... ;) Preci neni problem to resit, kolikrat se mi na serveru objevila komunikace kterou jsem neumel hned zaradit uz ani nepocitam.
-
Problém je v tom, že tazatel nedokáže zjistit, jaký proces z jeho serveru komunikuje, netstat tvrdí že žádný a přitom na síti ty data fyzicky chodí, tohle už hodně smrdí.
-
V netstate, ps atd to nemusi ale stihnut vidiet ak to trva kratko. Ja by som skusil v prvom rade dat do iptables pravidlo kludne aj accept alebo hocico, alebo neutralne ked vyrobis prazdnu "chain" s default policy return a do nej posles vsetko co ide na tu IP a potom dodatocne skusit pozriet (iptables -L -v) co napocitalo (kolko paketov a velkost). Alebo potom ako ti radia vyssie nezapojit to napriamo ale cez nieco a tam to kontrolovat. Alebo switch by sa tiez mohol dat nakonfigurovat ze ten traffic ti bude davat aj na dalsi port a tam si pripojis dalsi stroj a mozes si pozerat jeho traffic.
-
Problém je v tom, že tazatel nedokáže zjistit, jaký proces z jeho serveru komunikuje, netstat tvrdí že žádný a přitom na síti ty data fyzicky chodí, tohle už hodně smrdí.
Vytvorit si virualizovamou gateway(treba v kvmku v brigde), pomoci routovani pres ni nasmerovat provoz do internetu, pustit tam tcpdump -A a koukat?
-
Omlouvam se za nekomunikaci
samozrejme problem prisel tesne pred odletem na dovolenou.
Server je bohuzel dedikovany v nemecku, takze nejde vyndat disk a dat ho jinam...samozrejme dnes se utok zase opakoval, tentokrat ale ne ctyrminutovy ale dokud jsem ho nevypnul... podarilo se mi eliminovat postupne nejake procesy az jsem zrusil dva zvlastni apache procesy. Okamzite to prestalo... Potom jsem nahral novou verzi apache. Predtim jsem znovu preinstaloval vsechny nastroje jako ps, netstat, htop
Nejlepsi na tom je, kdyz to musite vyresit behem pul hodiny pres wifinu na letisti:-) Jeste to budu analyzovat az dorazim zitra na hotel...
Jinak server mi bezi na ubuntu 12.04 lts
-
Potom jsem nahral novou verzi apache. Predtim jsem znovu preinstaloval vsechny nastroje jako ps, netstat, htop
Tohle bohužel nestačí, pokud tam měl nějaký útočník práva roota a podle popisu to vypadá že ano, tak nezbývá než přeinstalovat celý stroj, protože může být kompromitované cokoliv od init skriptů, přes jakoukoliv aplikaci až po jádro, nedá se věřit ničemu.