Blokování útoku z mého serveru

Blokování útoku z mého serveru
« kdy: 13. 05. 2013, 22:10:57 »
Dobrý den,
poslední dva dny se mi stalo, ze vzdy na zhruba 4 minut mam extremni odchozi spojeni na jednu IP adresu. (to mi chodí od abuse mého poskytovatele). Včera jsem udělal minutové sledování jak různých info z netstatu tak se mi generuje po minutě přehled procesů.

log netstatu je delany pomoci techto prikazu

netstat -alpn |  awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -nr > $DATA
netstat -lnptu >> $DATA
netstat -anp |uniq >> $DATA


Po dnešním útoku jsem procházel tyto logy a v netstatu se tato adresa vubec neobjevuje:-(
ani v seznamu procesu se mi nezda nic podezdreleho. Delal jsem klasicke checky napr. rkhunter apdb a nic.

Netušíte jak najít to, co to způsobuje a jak tomu zabránit.

Také by mi strašně pomohlo, kdyby mi někdo poradil nějaké iptables příkazy, kterými bych mohl limitovat tyto odchozí pakety na jednu IP adresu na nějakou úroveň za sekundu.

Strašně moc díky za pomoc


Pavouk106

  • *****
  • 2 395
    • Zobrazit profil
    • Můj blog
    • E-mail
Re:Blokování útoku z mého serveru
« Odpověď #1 kdy: 13. 05. 2013, 22:19:37 »
Pokud to bude rootkit, bude za sebou zametat. Alespoň co jsem slyšel. A pokud je to takhle zametený a stejně poskytovatel něco hlásí, tak to vypadá na rootkit.

Budu to tu dál číst, pokud to tak opravdu bude, zajímá mě to.

smoofy

  • *****
  • 1 056
    • Zobrazit profil
    • E-mail
Re:Blokování útoku z mého serveru
« Odpověď #2 kdy: 14. 05. 2013, 10:28:37 »
To mas ten pocitac zapojeny primo na pripojku? Nemuze to byt jine zarizeni v siti treba klidne i router? Dobre by bylo vyzkouset zapojit nejake zarizeni jako transparentni bridge a scanovat a logovat provoz pres iptables a tcpdump pripadne wireshark, pac na dalsim zarizeni uvidis veskery provoz s neovlivnenymi logy.

Rhinox

Re:Blokování útoku z mého serveru
« Odpověď #3 kdy: 14. 05. 2013, 11:22:51 »
Kdyz mas duvodne podezreni ze tvuj servr je kompromitovan, pak nezbyva nic jineho, jen shodit servr, vyndat disk, vlozit do jinyho, udelat disk image, a ten pak otestovat v jinem (zarucene cistem!) stroji. Zadny netstat ani rkhunter ti na kompromitovanem stroji nepomuzou...

Iptables samozrejme ma moznost omezit mnozstvi dat (--limit, --limit-burst), jenze tudy cesta nevede. Kdyz nekdo ziskal na tvem stroji root-a pak si muze delat co jen chce...

Pavouk106

  • *****
  • 2 395
    • Zobrazit profil
    • Můj blog
    • E-mail
Re:Blokování útoku z mého serveru
« Odpověď #4 kdy: 14. 05. 2013, 15:15:52 »
Myslí si taky někdo jinej, že jde o rootkit? Myslim nezávisle na mě...

Smoofy má dobrej nápad - pustit provoz z tohohle PC přes jinej a zachytávat na tom jinym, ten případnym rootkitem ovlivněnej nebude, tam by mohla aktivita bejt vidět.


meno

Re:Blokování útoku z mého serveru
« Odpověď #5 kdy: 14. 05. 2013, 15:28:16 »
napr., ake sluzby ti tam bezia? u nas na jednom serveri hackli deravy CMS a z neho sa snazili robit utoky na dalsie CMS...

gamer

Re:Blokování útoku z mého serveru
« Odpověď #6 kdy: 14. 05. 2013, 15:32:44 »
rootkit to být může i nemusí, na rozhodnutí nemáme od tazatele dost informaci. Nějaké rootkity už jsem viděl a vždycky se snažily maskovat upravenými binárkami ps, ls, netstat apod. Pokud je podezření na rootkit, tak je nejlepší cesta celý stroj přeinstalovat a z původních dat použít maximálně nějaké textové konfiguráky po ruční kontrole, že v nich není nic nepatřičného.

Jim

Re:Blokování útoku z mého serveru
« Odpověď #7 kdy: 14. 05. 2013, 15:44:34 »
Reinstalovat server když není nic jisté? Nevím, zkusil bych wireshark, iptraf, htop, ps a něco se musí objevit. :)

gamer

Re:Blokování útoku z mého serveru
« Odpověď #8 kdy: 14. 05. 2013, 16:04:19 »
Reinstalovat server když není nic jisté? Nevím, zkusil bych wireshark, iptraf, htop, ps a něco se musí objevit. :)
Nechat produkční server být, když je podezření na rootkit? Nevím, já bych si to nevzal na triko.

Jim

Re:Blokování útoku z mého serveru
« Odpověď #9 kdy: 14. 05. 2013, 16:48:49 »
Ja bych si nevzal na triko reinstalaci serveru kvuli tomu ze si Joomla sahla bez dovoleni nekam kam se necekalo...  ;) Preci neni problem to resit, kolikrat se mi na serveru objevila komunikace kterou jsem neumel hned zaradit uz ani nepocitam.

gamer

Re:Blokování útoku z mého serveru
« Odpověď #10 kdy: 14. 05. 2013, 16:58:17 »
Problém je v tom, že tazatel nedokáže zjistit, jaký proces z jeho serveru komunikuje, netstat tvrdí že žádný a přitom na síti ty data fyzicky chodí, tohle už hodně smrdí.

rrrobo

Re:Blokování útoku z mého serveru
« Odpověď #11 kdy: 14. 05. 2013, 18:45:17 »
V netstate, ps atd to nemusi ale stihnut vidiet ak to trva kratko. Ja by som skusil v prvom rade dat do iptables pravidlo kludne aj accept alebo hocico, alebo neutralne ked vyrobis prazdnu "chain" s default policy return a do nej posles vsetko co ide na tu IP a potom dodatocne skusit pozriet (iptables -L -v) co napocitalo (kolko paketov a velkost). Alebo potom ako ti radia vyssie nezapojit to napriamo ale cez nieco a tam to kontrolovat. Alebo switch by sa tiez mohol dat nakonfigurovat ze ten traffic ti bude davat aj na dalsi port a tam si pripojis dalsi stroj a mozes si pozerat jeho traffic.

2012

Re:Blokování útoku z mého serveru
« Odpověď #12 kdy: 14. 05. 2013, 20:04:44 »
Problém je v tom, že tazatel nedokáže zjistit, jaký proces z jeho serveru komunikuje, netstat tvrdí že žádný a přitom na síti ty data fyzicky chodí, tohle už hodně smrdí.

Vytvorit si virualizovamou gateway(treba v kvmku v brigde), pomoci routovani pres ni nasmerovat provoz do internetu, pustit tam tcpdump -A a koukat?

Re:Blokování útoku z mého serveru
« Odpověď #13 kdy: 14. 05. 2013, 21:49:15 »
Omlouvam se za nekomunikaci
samozrejme problem prisel tesne pred odletem na dovolenou.
Server je bohuzel dedikovany v nemecku, takze nejde vyndat disk a dat ho jinam...samozrejme dnes se utok zase opakoval, tentokrat ale ne ctyrminutovy ale dokud jsem ho nevypnul... podarilo se mi eliminovat postupne nejake procesy az jsem zrusil dva zvlastni apache procesy. Okamzite to prestalo... Potom jsem nahral novou verzi apache. Predtim jsem znovu preinstaloval vsechny nastroje jako ps, netstat, htop
Nejlepsi na tom je, kdyz to musite vyresit behem pul  hodiny pres wifinu na letisti:-) Jeste to budu analyzovat az dorazim zitra na hotel...
Jinak server mi bezi na ubuntu 12.04 lts

gamer

Re:Blokování útoku z mého serveru
« Odpověď #14 kdy: 14. 05. 2013, 22:05:56 »
Potom jsem nahral novou verzi apache. Predtim jsem znovu preinstaloval vsechny nastroje jako ps, netstat, htop

Tohle bohužel nestačí, pokud tam měl nějaký útočník práva roota a podle popisu to vypadá že ano, tak nezbývá než přeinstalovat celý stroj, protože může být kompromitované cokoliv od init skriptů, přes jakoukoliv aplikaci až po jádro, nedá se věřit ničemu.