Неужели взлом ?

Protector · 29 Сен 2015

Вчера вечером мой сервер (CentOS + Vestacp) был недоступен. Перезагрузил, проверил нагрузку, LoadAverage был 70-80%. По одному проверил все сайты, нашёл сайт который создавал нагрузку и вырубил, LoadAverage стал 0,5-2%. Утром проснулся, сервер недоступен, перезагрузил, ftp недоступен, ssh недоступен, только админ панель доступна. А днём и админ панель стала недоступна, пришлось восстанавливать пароль по е-мэйлу. Вопрос такой - меня взломали или в системе что то испортилось ? И если всё таки взломали, то что посоветуете сделать ?

metsys · 29 Сен 2015

первым делом, сразу же, погадать на кофейной гуще и посмотреть в хрустальный шар.... а потом можно что то предпринимать...
1. проверить модифицированные файлы к примеру за последние 5-10 суток:

Код:

find /var/www/html -type f -mtime -10 -exec cp {} /folder/to/save/founded/files/ \;

2. проверить все логи на предмет аномальности
3. посидеть и самому помониторить с tcpdump'ом в руках

но это для затравки, если совсем не знать что делать

Protector · 29 Сен 2015

Спасибо конечно, но на сервер доступ отсутствует. Полностью. И ssh (putty и winscp), и ftp. Пока переустановил CentOS и восстановил сайты, сейчас массово меняю пароли (150 сайтов + ftp пароли). Теперь нужно сделать так чтобы это не повторилось.

metsys · 29 Сен 2015

если брешь была в приложении(скрипте и т д), то в нём и нужно затыкать дырки - обновление до актуальных версий, накатка патчей и т д ... если ломанули раз, второй и последующие взломы не за горами. для этого и проводят анализ инцидентов с выяснением подробностей, а не сносят и снова дуршлаг ставят. хотя на вкус и цвет товарищей нет.
Как вариант - пробовать изолировать каждый проект доступными/возможными способами (suphp, chroot итп) во избежание вреда всему серванту.

Protector · 29 Сен 2015

metsys написал(а):
если брешь была в приложении(скрипте и т д), то в нём и нужно затыкать дырки - обновление до актуальных версий, накатка патчей и т д ... если ломанули раз, второй и последующие взломы не за горами. для этого и проводят анализ инцидентов с выяснением подробностей, а не сносят и снова дуршлаг ставят. хотя на вкус и цвет товарищей нет.
Как вариант - пробовать изолировать каждый проект доступными/возможными способами (suphp, chroot итп) во избежание вреда всему серванту.

Я не системный администратор, я ставлю ВПС по накатанной схеме - ОС CentOS + панель VestaCp. Всего десяток базовых команд по CentOS знаю. Можете подробнее, "на пальцах" обьяснить что можно сделать ? Например с тем подозрительным сайтом который создаёт нагрузку на сервер и валит всю систему. Держать отключённым ?

Sorcus · 29 Сен 2015

Ом-ном-ном - единственная фраза, возникающая при прочтении этой темы

Как причина высокого LA - рассылка спама. Проверь очередь exim, postfix, или что у тебя там за smtp отвечает. Команды думаю найти сможешь. Даже если не рассылка спама - по-крайней мере на одну причину будет меньше :sun:

Protector · 29 Сен 2015

Sorcus написал(а):
Ом-ном-ном - единственная фраза, возникающая при прочтении этой темы
Как причина высокого LA - рассылка спама. Проверь очередь exim, postfix, или что у тебя там за smtp отвечает. Команды думаю найти сможешь. Даже если не рассылка спама - по-крайней мере на одну причину будет меньше

Не вариант, я exim и dovecot (отвечающие за мэйл) вырубаю.

a777d2 · 30 Сен 2015

Protector написал(а):
Я не системный администратор, я ставлю ВПС по накатанной схеме - ОС CentOS + панель VestaCp. Всего десяток базовых команд по CentOS знаю. Можете подробнее, "на пальцах" обьяснить что можно сделать ? Например с тем подозрительным сайтом который создаёт нагрузку на сервер и валит всю систему. Держать отключённым ?

Удали вообще этот сайт, или отключи, посмотри по логам напратяжении недели нагрузку, если все норм, то значит в том сайте дыры для хакеров! Сервер домашний? Возможна ddos атака! Посмотри как часто обращаются на сайт одинаковые IP, а также время падения сервера! Можно будет заблокировать IP этих взломщиков! Так же для безопасности, поищи ip прокси, анонимайзеров и т.д., любые ip которые может использовать хакер, блокируй все) Но проще конечно залатать дыры в сервере или сайте!

Cometa400 · 11 Окт 2015

что бы подобного не происходило нужно правильно настроить пермишены системы.
настройка отдельных пользователей для демонов и их уровень доступа в системе.
защита от брута сервисов. защита движка от самого себя и не делать с сервера проходной двор: на один сервер - один админ.
раз в месяц уделять один день на изучение логов и проверка последней модификации конфигов.
это так, без паранои, по типу переименование команд в шеле на свои с системой репорта попытки использования старого синтаксиса команд.
только при соблюдении эти правил можно спокойно спать и быть уверенным в надежной защите своей крепости.

ps. буквально в пятницу ржали с админа, что у него можно скачать пхп файлы конфиг конекта к бд для цмс.
есть куча фрилансеров, которые готовы следить за сервером за ЗП 100-500 долл. в месяц.

micol · 14 Окт 2015

Ставь fail2ban, vnstat

Первый надо настроить на блокировку в iptables (подбор паролей и т.п.), сведения брать по регуляркам из логов
Второй пригодится посмотреть какой трафик вх/исх с количеством пакетов в секунду идет на машину: vnstat -l -i <имя интерфейса>

Проверить целостность пакетов (изменения

rpm -qVa Выдаст полотенце с удаленными, измененными и т.п. файликами и папками

И самое главное, если видим аномальную нагрузку надо искать источник, но никак не сносить.

Для начала посмотреть было бы не плохо какая это нагрузка: пользовательские приложения, ядро, прерывания и т.п.
Но что сделано - то сделано

Неужели взлом ?

Protector

Профессор

metsys

Хранитель порядка

Protector

Профессор

metsys

Хранитель порядка

Protector

Профессор

Sorcus

Sorcus. A New Beginning.

Protector

Профессор

a777d2

Создатель

Cometa400

Создатель

micol

Создатель