Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://593930.wb34atkl.asia/

Ataki mojego serwera na inny

https://593930.wb34atkl.asia/viewtopic.php?t=20221

Strona 1 z 1

Ataki mojego serwera na inny

: 22 września 2010, 18:02
autor: szpecu
Witam.
Jestem posiadaczem vpsa w superhost i mam problem. Superhost uważa, że mój serwer atakuje ip kogoś. Dziwne, bo mam tylko zainstalowane podstawowe składniki, czyli apache2, mysql-serwer, phpmyadmin, php5 i skrypt, który zarządza serwerami ventrilo.

O to logi.
Pana VPS nastąpiły ataki. Poniżej przedstawiam logi dotyczące ataków. Proszę przeinstalować posiadaną usługę oraz zabezpieczyć przed nieautoryzowanym dostępem. Obecnie VPS jest wyłączony. Może Pan włączyć VPS z poziomu PowerPanelu.

Kod: Zaznacz cały

198.65.102.243.10680: S 3316298762:3316298762(0) ack  329610250 win
5792
6> 20:56:43.779825 IP 195.2.254.115.http >  198.65.102.242.48335: S
4085353119:4085353119(0) ack 1926551052 win  5792
1460,sackOK,timestamp 774470496 695755,nop,wscale 6>  20:56:43.779827
IP 195.2.254.115.http > 198.65.102.205.47719:  S
1441572145:1441572145(0) ack 2609187644 win 5792
1460,sackOK,timestamp  774470496 616702,nop,wscale 6> 20:56:43.779830
IP 195.2.254.115.http >  198.65.102.76.33640: S
3102960756:3102960756(0) ack 3843385199 win  5792
1460,sackOK,timestamp 774470496 12219721,nop,wscale
6>  20:56:43.779834 IP 195.2.254.115.http > 198.65.102.141.51884:  S
328284609:328284609(0) ack 3358261072 win 5792
1460,sackOK,timestamp  774470496 4228479,nop,wscale 6> 20:56:43.779839
IP 195.2.254.115.http >  198.65.102.145.56075: S
3859574258:3859574258(0) ack 1788394251 win  5792
1460,sackOK,timestamp 774470496 6097869,nop,wscale 6>  20:56:43.779841
IP 195.2.254.115.http > 198.65.102.254.58024:  S
3002952852:3002952852(0) ack 588650008 win 5792
1460,sackOK,timestamp  774470496 14935609,nop,wscale
6> 20:56:43.779842 IP 195.2.254.115.http  > 198.65.102.49.52022: S
2468092750:2468092750(0) ack 3522589542 win  5792
1460,sackOK,timestamp 774470496 11824400,nop,wscale
6>  20:56:43.779845 IP 195.2.254.115.http > 198.65.102.143.4570:  S
1347433980:1347433980(0) ack 3836096586 win 5792
1460,sackOK,timestamp  774470496 15766643,nop,wscale
6> 20:56:43.779848 IP 195.2.254.115.http  > 198.65.102.244.19464: S
2005515635:2005515635(0) ack 2507397504 win  5792
1460,sackOK,timestamp 774470496 11985341,nop,wscale
6>  20:56:43.779849 IP 195.2.254.115.http > 198.65.102.243.5328:  S
2549373393:2549373393(0) ack 1741087062 win 5792
1460,sackOK,timestamp  774470496 8915120,nop,wscale 6> 20:56:43.779852
IP 195.2.254.115.http >  198.65.102.226.netiq-mc: S
3973033746:3973033746(0) ack 2551484515 win  5792
1460,sackOK,timestamp 774470496 11754795,nop,wscale
6>  20:56:43.779854 IP 195.2.254.115.http > 198.65.102.239.21794:  S
2303593947:2303593947(0) ack 1035370614 win 5792
1460,sackOK,timestamp  774470496 1711609,nop,wscale 6> 20:56:43.779856
IP 195.2.254.115.http >  198.65.102.41.21550: S 571550845:571550845(0)
ack 2256312144 win  5792
10623936,nop,wscale 6> 20:56:43.779861 IP 195.2.254.115.http  >
198.65.102.174.30143: S 1472245404:1472245404(0) ack 2322115685  win
5792
6> 20:56:43.779863 IP 195.2.254.115.http >  198.65.102.21.15489: S
803154521:803154521(0) ack 2536762978 win  5792
1460,sackOK,timestamp 774470496 6137912,nop,wscale 6>  20:56:43.779866
IP 195.2.254.115.http > 198.65.102.104.52707:  S
1377579047:1377579047(0) ack 1991882771 win 5792
1460,sackOK,timestamp  774470496 13701665,nop,wscale 6>
Pozdrawiam

: 23 września 2010, 12:01
autor: cyryllo
Napisz coś więcej. Jak się łączysz z serwerem, czy tylko ty masz dostęp do serwera czy masz tam użytkowników innych. Więcej info proszę.
Z jakich zabezpieczeń korzystasz? Używasz fail2ban lub coś podobnego?

Pokaż logi z serwera.

: 24 września 2010, 17:28
autor: szpecu
Tylko ja mam dostęp. Łącze się poprzez ssh. Najnowsze logi.

Kod: Zaznacz cały

usługa VPS została wyłączona na skutek przeprowadzonej na niej ataku jak i  instalacji złośliwego oprogramowania. Prosimy o podjęcie kroków mających na celu  wyeliminowania niniejszej sytuacji. 

perl 14099 www-data 9u IPv6  1496834926 TCP 195.2.254.115:www->72.55.164.183:50232 (ESTABLISHED)
perl  14099 www-data 10u IPv4 1497253486 TCP  195.2.254.115:48667->87.98.217.132:ircd (ESTABLISHED)

www-data 14099  0.0 0.2 4920 2940 ? S 10:58 0:00 /usr/sbin/httpd -DL in/httpd -DL

: 24 września 2010, 21:12
autor: andrzej78
Sprawdź cz wszystkie pliki są twoje, najlepiej skasuj wszystko i wgraj kopię, bo sugestia może być jak najbardziej trafna.
Zorientuj się też gdzie tkwi luka w twoim skrypcie, która umozliwiła wgranie obcego kodu.

: 25 września 2010, 17:00
autor: szpecu
Jeśli chodzi o skasowanie to już wszystko zrobiłem tak jak trzeba. Przejrzałem pliki i nadal nie wiem, co może być nie tak?

: 26 września 2010, 00:52
autor: kaworu
Sprawdź jakie procesy są uruchomione, jeśli będzie coś w stylu irc to jesteś częścią botnetu :)

Kod: Zaznacz cały

perl  14099 www-data 10u IPv4 1497253486 TCP  195.2.254.115:48667->87.98.217.132:[B]-->ircd<--[/B] (ESTABLISHED)

: 26 września 2010, 10:47
autor: szpecu
Jest ircd. Co mam dalej zrobić?

Kod: Zaznacz cały

www-data 7983 80.1 0.2 4556 2720 ? R 03:18 240:51  /usr/sbin/apache/log

perl 7983 www-data 10u IPv4 1520460138 TCP  195.2.254.115:41000->122.220.252.180:ircd (ESTABLISHED)

: 26 września 2010, 20:10
autor: Bastian

Kod: Zaznacz cały

ps -A |grep ircd

Kod: Zaznacz cały

kill [I]nr.procesu[/I]
Usuń potem wszystkie te skrypty perla, bo jak mniemam to w nich masz złośliwy kod. Zrestartuj serwer i patrz w logach czy nadal są połączenia z tego gówna
Strefa czasowa UTC+01:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl