Příspěvky

1

Server / Re:Napadený server

« kdy: 05. 06. 2024, 15:32:15 »

Update:
Když jsem byl na server připojený přes ssh, tak nedošlo v tu dobu ani k jednomu pokusu o spojení.
To stejné platí, když přímo na serveru běžel tcpdump.

Určitě by bylo zajímavé pokusit se zjisitit, jak to bylo řízeno, ale neměl jsem na to čas.
Server je odstavený a bez přístupu k síti.

Technomaniak má nejspíš pravdu, byl to bot.

2

Server / Re:Napadený server

« kdy: 31. 05. 2024, 19:40:30 »

Je zde nekolik (rozumej vice nez malo) moznosti a to od webu az po neaktualizovany balik.

Ne všechny servery provozují web nebo jen web. Když nevíme, co tam běželo za služby a v jakém stavu byl ten server, nemá moc smysl hádat, kde všude mohla být chyba.

Server běží na Almalinux 8.10 s remi a epel repo. Server je pravidelně aktualizovaný.
Mimo repo naistalován Seafile

Vim, ze to bude znit divne, ale od te doby co bezi auditctl a tcpdump nedoslo ani k jednomu pokusu o navazni spojeni.

Mohl tam být někdo připojen interaktivně nebo si ten server mohl stahovat příkazy z nějakého C&C serveru, a když jste ho odpojil od sítě, nedostává instrukce. Sledujete jen odchozí komunikaci na port 25, nebo všechnu? Na výpis procesů, zda tam není něco vyloženě divného, jste se díval?

Sleduji všechnu odchozí komunikaci, ale pozornost jsem věnoval hlavně portu 25.
Výposi procesů také průběžně sleduji a na nic divného jsem nenarazil. Ani zatěž serveru se nijak nezměnila.

Do teď stále ani jeden nový pokus o spojení.
Samozřejmě, pokud se něco nového objeví, podělím se.
Zatím všem děkuji 

3

Server / Re:Napadený server

« kdy: 31. 05. 2024, 16:03:14 »

Izolovany uz je, to jsem udelal hned, jak jsem se ujistil, ze se neco deje.
Rad bych zjistil, co se stalo a jak k tomu doslo.
A jelikoz jsem si nedokazal poradit, zeptal jsem se zde.

Stale bezi auditctl i tcpdump.
Vim, ze to bude znit divne, ale od te doby co bezi auditctl a tcpdump nedoslo ani k jednomu pokusu o navazni spojeni.

4

Server / Re:Napadený server

« kdy: 31. 05. 2024, 14:37:21 »

Což je mail2.mil.ru - ruské ministerstvo obrany...

S nimi určitě nechce mít od nás nikdo nic společného.

5

Server / Re:Napadený server

« kdy: 31. 05. 2024, 13:48:58 »

Poslední pokus byl na IP:
5.143.241.243

6

Server / Re:Napadený server

« kdy: 31. 05. 2024, 12:47:19 »

Děkuji všem za tipy.
Server má omezený přístup do zbytku sítě.
Web server na něm běží, ale žádný WP nebo něco podobného.

Zkusil jsem použít auditctl, viz příspěvek

Zacni to hlidat/logovat.. a pak zjistis:

https://unix.stackexchange.com/questions/366376/find-local-processes-starting-tcp-connections

Ale moc moudrý z toho nejsem.
V době pokusu o spojení je ve výpisu pouze
... arch=x86_64 syscall=connect success=no exit=EINPROGRESS(Operation now in progress) a0=0xf8 a1=0x7fcca00bd0f8 a2=0x10 a3=0x7fccb0ff3ff7 items=0 ppid=755814 pid=755848 auid=unset uid=eset-efs-wapd gid=eset-efs-daemons euid=eset-efs-wapd suid=eset-efs-wapd fsuid=eset-efs-wapd egid=eset-efs-daemons sgid=eset-efs-daemons fsgid=eset-efs-daemons tty=(none) ses=unset comm=wapd exe=/opt/eset/efs/lib/wapd key=who-connects

Asi bude nejjistější postup:
"to celé schodit a udělat revizi zabezpečení a monitoringu"

7

Server / Napadený server

« kdy: 31. 05. 2024, 11:13:12 »

Dobrý den,
rád bych Vás požádal o tipy, co s tím.

Situace je následující:
Server s Almalinux 8.10 remi a epel repo.
Ze serveru se v nepravidelných intervalech otevírá velké množství spojení vždy na jednu IP na port 25.
Zdrojový port spojení je různý.
V logu postfixu v daný okamžik není žádný záznam. Z toho usuzuji, že spojení otevírá něco jiného.
Jak zjistit co za tím je?

Předem děkuji