Napadený server

Napadený server
« kdy: 31. 05. 2024, 11:13:12 »
Dobrý den,
rád bych Vás požádal o tipy, co s tím.

Situace je následující:
Server s Almalinux 8.10 remi a epel repo.
Ze serveru se v nepravidelných intervalech otevírá velké množství spojení vždy na jednu IP na port 25.
Zdrojový port spojení je různý.
V logu postfixu v daný okamžik není žádný záznam. Z toho usuzuji, že spojení otevírá něco jiného.
Jak zjistit co za tím je?

Předem děkuji


McFly

  • *****
  • 583
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #1 kdy: 31. 05. 2024, 11:39:44 »
Třeba napadený Wordpress? Je tam webový server? ;)

RDa

  • *****
  • 2 567
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #2 kdy: 31. 05. 2024, 11:43:12 »

Re:Napadený server
« Odpověď #3 kdy: 31. 05. 2024, 11:59:29 »
prakticky si nemůžeš být jistý ničím, pokud útočník již má nějakou kontrolu nad spuštěnými procesy v OS, je vhodné udělat backup celého filesystemu a systém celý přeinstalovat. Podrobně ověřit všechny aplikaci a nové deploymentu patřičně omezit a ohlídat jejich oprávnění.

Analýza komporomitovaného serveru je jedna z nejtěžších disciplín, nikdy nevíš proti čemu a v jaké úrovni stojí. Je dobré se do toho sám nepouštět, buď si na to někoho najmout nebo to celé schodit a udělat revizi zabezpečení a monitoringu.

Re:Napadený server
« Odpověď #4 kdy: 31. 05. 2024, 12:14:37 »
Jak již předřečníci zmínili, jde o těžkou disciplínu. Ještě se můžete podívat na ss:https://www.root.cz/clanky/uvod-do-prikazu-ss-zjistete-podrobnosti-o-sitovych-rozhranich/

Ideální by bylo zkusit server nějak omezit v přístupu do dalších sítí, aby se infekce případně nemohla šířit dál. Samozřejmě vyměnit hesla, klíče atp.


Re:Napadený server
« Odpověď #5 kdy: 31. 05. 2024, 12:28:02 »
Pro port 25 by měl mít root. Takže bych to zapálil, zalil do betonu a zakopal.

Re:Napadený server
« Odpověď #6 kdy: 31. 05. 2024, 12:47:19 »
Děkuji všem za tipy.
Server má omezený přístup do zbytku sítě.
Web server na něm běží, ale žádný WP nebo něco podobného.

Zkusil jsem použít auditctl, viz příspěvek
Zacni to hlidat/logovat.. a pak zjistis:

https://unix.stackexchange.com/questions/366376/find-local-processes-starting-tcp-connections

Ale moc moudrý z toho nejsem.
V době pokusu o spojení je ve výpisu pouze
... arch=x86_64 syscall=connect success=no exit=EINPROGRESS(Operation now in progress) a0=0xf8 a1=0x7fcca00bd0f8 a2=0x10 a3=0x7fccb0ff3ff7 items=0 ppid=755814 pid=755848 auid=unset uid=eset-efs-wapd gid=eset-efs-daemons euid=eset-efs-wapd suid=eset-efs-wapd fsuid=eset-efs-wapd egid=eset-efs-daemons sgid=eset-efs-daemons fsgid=eset-efs-daemons tty=(none) ses=unset comm=wapd exe=/opt/eset/efs/lib/wapd key=who-connects

Asi bude nejjistější postup:
"to celé schodit a udělat revizi zabezpečení a monitoringu"

Re:Napadený server
« Odpověď #7 kdy: 31. 05. 2024, 13:17:05 »
Jestli jste auditem skutečně odchytil ten citovaný záznam, tak ten socket podle názvů procesu a uživatele otevírá antivir od ESETu. Víc vám neporadím, nikdy jsem s tím na Linuxu nedělal, ale nemá v sobě antivir třeba nějaké e-mailové notifikace (reporty) přes SMTP a v preferencích nastavený vzdálený server, přes který to pak zkouší relay?

Re:Napadený server
« Odpověď #8 kdy: 31. 05. 2024, 13:18:00 »
Zajímavé by mohlo být tu komunikaci si na druhé straně přijmout a prohlédnout si obsah - a z toho zjistit konečný cíl komunikace (mailu) a odhadnout původce.

Re:Napadený server
« Odpověď #9 kdy: 31. 05. 2024, 13:22:14 »
Pro port 25 by měl mít root. Takže bych to zapálil, zalil do betonu a zakopal.
Neměl. Řeč je o cílovém portu, takové spojení může otevřít kdokoli. To, co myslíte vy, je port pro naslouchání. (A ani tam už to nemusí být root, stačí mít příslušnou capability, kterou ovšem může přidělit jen root – každopádně pro tuhle diskusi je to irelevantní.)

Pokud nevíte, jak k útoku došlo, není moc jiná možnost, než ten server přeinstalovat. Chyba ale také může být v nějaké custom aplikaci nebo konfiguraci, takže je dobré po přeinstalaci to víc sledovat, zda se to neobjeví znovu.

Víte něco o té cílové adrese? On to také nemusí být útok, jenom špatná konfigurace něčeho.

McFly

  • *****
  • 583
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #10 kdy: 31. 05. 2024, 13:46:44 »
Co odchytit takovou komunikaci pomocí tcpdumpu a pak si ji prohlédnout ve Wiresharku? ;)

Re:Napadený server
« Odpověď #11 kdy: 31. 05. 2024, 13:48:58 »
Poslední pokus byl na IP:
5.143.241.243

McFly

  • *****
  • 583
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #12 kdy: 31. 05. 2024, 14:33:05 »
Což je mail2.mil.ru - ruské ministerstvo obrany...

Re:Napadený server
« Odpověď #13 kdy: 31. 05. 2024, 14:37:21 »
Což je mail2.mil.ru - ruské ministerstvo obrany...

S nimi určitě nechce mít od nás nikdo nic společného.

ByCzech

  • *****
  • 1 861
    • Zobrazit profil
    • E-mail
Re:Napadený server
« Odpověď #14 kdy: 31. 05. 2024, 14:38:30 »
Poslední pokus byl na IP:
5.143.241.243

Patří Ruskému telekomu. Okamžitě reinstall.