1. Fórum Root.cz
  2. Hlavní témata
  3. Server
  4. Napadený server
« předchozí další »
Stran: [1] 2

Napadený server

  • 27 Odpovědí
  • 7538 Zhlédnutí

robert2024

Napadený server
« kdy: 31. 05. 2024, 11:13:12 »
Dobrý den,
rád bych Vás požádal o tipy, co s tím.

Situace je následující:
Server s Almalinux 8.10 remi a epel repo.
Ze serveru se v nepravidelných intervalech otevírá velké množství spojení vždy na jednu IP na port 25.
Zdrojový port spojení je různý.
V logu postfixu v daný okamžik není žádný záznam. Z toho usuzuji, že spojení otevírá něco jiného.
Jak zjistit co za tím je?

Předem děkuji
IP zaznamenána

Reklama

  • * * * * *

McFly

  • *****
  • 594
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #1 kdy: 31. 05. 2024, 11:39:44 »
Třeba napadený Wordpress? Je tam webový server? ;)
IP zaznamenána

RDa

  • *****
  • 2 701
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #2 kdy: 31. 05. 2024, 11:43:12 »
IP zaznamenána

_Tomáš_

  • *****
  • 875
    • Zobrazit profil
Re:Napadený server
« Odpověď #3 kdy: 31. 05. 2024, 11:59:29 »
prakticky si nemůžeš být jistý ničím, pokud útočník již má nějakou kontrolu nad spuštěnými procesy v OS, je vhodné udělat backup celého filesystemu a systém celý přeinstalovat. Podrobně ověřit všechny aplikaci a nové deploymentu patřičně omezit a ohlídat jejich oprávnění.

Analýza komporomitovaného serveru je jedna z nejtěžších disciplín, nikdy nevíš proti čemu a v jaké úrovni stojí. Je dobré se do toho sám nepouštět, buď si na to někoho najmout nebo to celé schodit a udělat revizi zabezpečení a monitoringu.
IP zaznamenána

farbydos2

Re:Napadený server
« Odpověď #4 kdy: 31. 05. 2024, 12:14:37 »
Jak již předřečníci zmínili, jde o těžkou disciplínu. Ještě se můžete podívat na ss:https://www.root.cz/clanky/uvod-do-prikazu-ss-zjistete-podrobnosti-o-sitovych-rozhranich/

Ideální by bylo zkusit server nějak omezit v přístupu do dalších sítí, aby se infekce případně nemohla šířit dál. Samozřejmě vyměnit hesla, klíče atp.
IP zaznamenána

Reklama

  • * * * * *

Tomáš Procházka

  • ***
  • 121
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #5 kdy: 31. 05. 2024, 12:28:02 »
Pro port 25 by měl mít root. Takže bych to zapálil, zalil do betonu a zakopal.
IP zaznamenána

robert2024

Re:Napadený server
« Odpověď #6 kdy: 31. 05. 2024, 12:47:19 »
Děkuji všem za tipy.
Server má omezený přístup do zbytku sítě.
Web server na něm běží, ale žádný WP nebo něco podobného.

Zkusil jsem použít auditctl, viz příspěvek
Citace: RDa  31. 05. 2024, 11:43:12
Zacni to hlidat/logovat.. a pak zjistis:

https://unix.stackexchange.com/questions/366376/find-local-processes-starting-tcp-connections

Ale moc moudrý z toho nejsem.
V době pokusu o spojení je ve výpisu pouze
... arch=x86_64 syscall=connect success=no exit=EINPROGRESS(Operation now in progress) a0=0xf8 a1=0x7fcca00bd0f8 a2=0x10 a3=0x7fccb0ff3ff7 items=0 ppid=755814 pid=755848 auid=unset uid=eset-efs-wapd gid=eset-efs-daemons euid=eset-efs-wapd suid=eset-efs-wapd fsuid=eset-efs-wapd egid=eset-efs-daemons sgid=eset-efs-daemons fsgid=eset-efs-daemons tty=(none) ses=unset comm=wapd exe=/opt/eset/efs/lib/wapd key=who-connects

Asi bude nejjistější postup:
"to celé schodit a udělat revizi zabezpečení a monitoringu"
IP zaznamenána

Michal Šmucr

  • ***
  • 106
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #7 kdy: 31. 05. 2024, 13:17:05 »
Jestli jste auditem skutečně odchytil ten citovaný záznam, tak ten socket podle názvů procesu a uživatele otevírá antivir od ESETu. Víc vám neporadím, nikdy jsem s tím na Linuxu nedělal, ale nemá v sobě antivir třeba nějaké e-mailové notifikace (reporty) přes SMTP a v preferencích nastavený vzdálený server, přes který to pak zkouší relay?
IP zaznamenána

Tomas-T

  • ****
  • 444
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #8 kdy: 31. 05. 2024, 13:18:00 »
Zajímavé by mohlo být tu komunikaci si na druhé straně přijmout a prohlédnout si obsah - a z toho zjistit konečný cíl komunikace (mailu) a odhadnout původce.
IP zaznamenána

Filip Jirsák

  • *****
  • 5 942
    • Zobrazit profil
Re:Napadený server
« Odpověď #9 kdy: 31. 05. 2024, 13:22:14 »
Citace: Tomáš Procházka  31. 05. 2024, 12:28:02
Pro port 25 by měl mít root. Takže bych to zapálil, zalil do betonu a zakopal.
Neměl. Řeč je o cílovém portu, takové spojení může otevřít kdokoli. To, co myslíte vy, je port pro naslouchání. (A ani tam už to nemusí být root, stačí mít příslušnou capability, kterou ovšem může přidělit jen root – každopádně pro tuhle diskusi je to irelevantní.)

Pokud nevíte, jak k útoku došlo, není moc jiná možnost, než ten server přeinstalovat. Chyba ale také může být v nějaké custom aplikaci nebo konfiguraci, takže je dobré po přeinstalaci to víc sledovat, zda se to neobjeví znovu.

Víte něco o té cílové adrese? On to také nemusí být útok, jenom špatná konfigurace něčeho.
IP zaznamenána

McFly

  • *****
  • 594
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #10 kdy: 31. 05. 2024, 13:46:44 »
Co odchytit takovou komunikaci pomocí tcpdumpu a pak si ji prohlédnout ve Wiresharku? ;)
IP zaznamenána

robert2024

Re:Napadený server
« Odpověď #11 kdy: 31. 05. 2024, 13:48:58 »
Poslední pokus byl na IP:
5.143.241.243
IP zaznamenána

McFly

  • *****
  • 594
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #12 kdy: 31. 05. 2024, 14:33:05 »
Což je mail2.mil.ru - ruské ministerstvo obrany...
IP zaznamenána

robert2024

Re:Napadený server
« Odpověď #13 kdy: 31. 05. 2024, 14:37:21 »
Citace: McFly  31. 05. 2024, 14:33:05
Což je mail2.mil.ru - ruské ministerstvo obrany...

S nimi určitě nechce mít od nás nikdo nic společného.
IP zaznamenána

ByCzech

  • *****
  • 1 861
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #14 kdy: 31. 05. 2024, 14:38:30 »
Citace: robert2024  31. 05. 2024, 13:48:58
Poslední pokus byl na IP:
5.143.241.243

Patří Ruskému telekomu. Okamžitě reinstall.
IP zaznamenána
Stran: [1] 2
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Server
  4. Napadený server