21. april 2004 - 18:18Der er
55 kommentarer og 1 løsning
Sikkerheds spørgsmål.
Hejsa jeg har et efterhånden ret ireterende problem.
Jeg har en redhat 9.0 kørende. den kører som sådan også fint nok, problemet er blot at der ude i byen tilsyneladende er nogen der syntes det kunne være fedt at lægge serveren ned. det er endnu ikke sket men det sløver den kolonormt. Nogen sender en masse pakker til serveren, som så for min server til at sende en masse pakker retur, problemet er bare at nu har jeg værret oppe på at sende 2,5TB i timen, så det vil jeg meget gerne have stoppet. er der nogen der kender en måde hvor på jeg kan spore hvor det kommer fra (logbøger ? hvilke?) eller endnu bedre... hvordan kan jeg få det stoppet.
det er lige netop problemet... jeg aner ik hvad det er for en trafik... jeg kan bare se at serveren næsten går død og så kan se ses på mine grafer at der har været den trafik.... men det må da kunne ses i en eller anden log ??
hvilken firewall bruger du? det må være der det skal stoppes i iptables tror jeg det hedder syn-flood hvor du kan sætte antallet af forespørgsler pr sekund tjek evt http://www.lowth.com/LinWiz/1.09/ServerFirewall/fw.pl/iptables for ideer til opsætning af iptables
jeg har ikke apache kørende på min server (er det iøvrigt en webserver?) ligesom samba og ftp-serverne har deres egne logfiler, må apache også have de, og de ligger nok ikke i /var/log hvis det er apache kunne pakken perl-Apache-LogFile måske være god, læs http://aspn.activestate.com/ASPN/CodeDoc/Apache-LogFile/LogFile.html
Har tjekket både web, ftp og mail log og der er ikke noget videre, og som sagt vi snakker om 2,5 TB i timen.. det tror jeg ik apache kan klare og slet ikke da jeg kun har 70 GB webfiler
Det er sikkert et sync flod angreb og de er meget svære at gøre noget alvorligt ved.
Du kan dog gøre forskelligt. Di kan f.eks. konfigurere din firewall til at blokkere de implicerede ip adresser (dette gør i sig selv ikke meget, da din server stadig skal svare på sync pakkerne) herefter sætter du (midlertidigt) TTL værdien ned. Hvor meget ned den skal er svært at sige, den vil give din server bedre muligheder for at modstå sync flod angrebet, men samtidig betyde at din server kommer til at virke mere ustabil.
Hold øje med hvad der sker, sæt ttl ned mends det sker og sæt den så op bagefter igen
prøv evt netstat -an der kan du se hvilke ip-adresser der sender og modtager mest data. Det bedste du kan gøre er så at finde ud af hvor IP-adresserne stammer fra og så skrive til udbyderen. De fleste udbydere er villige til at hjælpe dig fordi det er dårlig publicity at have den slags traffik. Ellers prøv som sagt lsof -i og smid evt output her.
hej igen.. det skal lige siges at det ikke er hele tiden dette sker.... det sker somregel et par gange i døgnet og varer ca 1 times tid og så slutter det igen... men vi er lige ved at bygge noget nyt firewall så maskinen er lige p.t. nede.
Du SENDER så meget traffik? Så kan jeg sige med sikkerhed at du er blevet rooted og bliver brugt som ddos drone. Kør eventuelt http://www.chkrootkit.org/ på den.
og hvis der virkelig er nogen der har installeret et rootkit hos dig, så kan du lige så godt geninstallere med det samme. Når den slags sker så er det ikke din maskine længere.
hvis du er blevet hacket så bør du tage disken ud af maskinen og geninstallere på en ny disk - du må endelig ikke slette disken, da den indeholder vigtige spor - især hvis der er nogen som anklager dig for noget så kan du bevise at du har været hacket
Det er egentlig sandt hvad mfalck siger. Hvis nogen bruger dig til ddos, så er det ikke dig der bliver angrebet, men derimod din maskine der bliver brugt til at angribe andre. Det giver nogle af de samme symptomer, for en syn flood tager AL linje kapacitet, også når den er udgående. Nogen kunne klage over dig til din internet udbyder, og forsøge at stille dig til ansvar for downtime osv.
I tilfælde hvor man får sin linje brugt til ddos er det med 99% sikkerhed en script kiddie som er kommet ind igennem et almindelig kendt sikkerhedshul. Det bør jo være stof til eftertanke når man efterfølgende skal tage stilling til om man skal stramme sikkerheden :)
Du kan ikke længere stole på output af ps, ls, top, lsof, netstat osv kommandoer, fordi mange rootkits modificerer disse, således at de ikke viser suspekte filer og processer. Din computer kan med andre ord se ren ud men stadig være fyldt med bagdøre og syn flood processer. Du kan ikke længere stole på din computer. Som jeg siger, så er det ikke din computer længere.
Ny installation. Opdater den inden du sætter den udenfor firewall igen. Hvis du har kendte sikkerhedshuller på så kan det tage så lidt som 20 minutter på nettet før den igen er hacket.
[root@Linux chkrootkit-0.43]# ./chkrootkit ROOTDIR is `/' Checking `amd'... not found Checking `basename'... not infected Checking `biff'... not found Checking `chfn'... not infected Checking `chsh'... not infected Checking `cron'... not infected Checking `date'... not infected Checking `du'... not infected Checking `dirname'... not infected Checking `echo'... not infected Checking `egrep'... not infected Checking `env'... not infected Checking `find'... not infected Checking `fingerd'... not found Checking `gpm'... not infected Checking `grep'... not infected Checking `hdparm'... not infected Checking `su'... not infected Checking `ifconfig'... not infected Checking `inetd'... not tested Checking `inetdconf'... not infected Checking `identd'... not found Checking `init'... not infected Checking `killall'... not infected Checking `ldsopreload'... not infected Checking `login'... not infected Checking `ls'... not infected Checking `lsof'... not infected Checking `mail'... not infected Checking `mingetty'... not infected Checking `netstat'... not infected Checking `named'... not found Checking `passwd'... not infected Checking `pidof'... not infected Checking `pop2'... not found Checking `pop3'... not found Checking `ps'... not infected Checking `pstree'... not infected Checking `rpcinfo'... not infected Checking `rlogind'... not found Checking `rshd'... not found Checking `slogin'... not infected Checking `sendmail'... not infected Checking `sshd'... not infected Checking `syslogd'... not infected Checking `tar'... not infected Checking `tcpd'... not infected Checking `tcpdump'... not infected Checking `top'... not infected Checking `telnetd'... not found Checking `timed'... not found Checking `traceroute'... not infected Checking `vdir'... not infected Checking `w'... not infected Checking `write'... not infected Checking `aliens'... no suspect files Searching for sniffer's logs, it may take a while... nothing found Searching for HiDrootkit's default dir... nothing found Searching for t0rn's default files and dirs... nothing found Searching for t0rn's v8 defaults... nothing found Searching for Lion Worm default files and dirs... nothing found Searching for RSHA's default files and dir... nothing found Searching for RH-Sharpe's default files... nothing found Searching for Ambient's rootkit (ark) default files and dirs... nothing found Searching for suspicious files and dirs, it may take a while... /usr/lib/perl5/5.8.0/i386-linux-thread-multi/.packlist /usr/lib/perl5/site_perl/5.005/i386-linux/auto/DBI/.packlist
Searching for LPD Worm files and dirs... nothing found Searching for Ramen Worm files and dirs... nothing found Searching for Maniac files and dirs... nothing found Searching for RK17 files and dirs... nothing found Searching for Ducoci rootkit... nothing found Searching for Adore Worm... nothing found Searching for ShitC Worm... nothing found Searching for Omega Worm... nothing found Searching for Sadmind/IIS Worm... nothing found Searching for MonKit... nothing found Searching for Showtee... nothing found Searching for OpticKit... nothing found Searching for T.R.K... nothing found Searching for Mithra... nothing found Searching for LOC rootkit ... nothing found Searching for Romanian rootkit ... nothing found Searching for HKRK rootkit ... nothing found Searching for Suckit rootkit ... nothing found Searching for Volc rootkit ... nothing found Searching for Gold2 rootkit ... nothing found Searching for TC2 Worm default files and dirs... nothing found Searching for Anonoying rootkit default files and dirs... nothing found Searching for ZK rootkit default files and dirs... nothing found Searching for ShKit rootkit default files and dirs... nothing found Searching for AjaKit rootkit default files and dirs... nothing found Searching for zaRwT rootkit default files and dirs... nothing found Searching for anomalies in shell history files... nothing found Checking `asp'... not infected Checking `bindshell'... not infected Checking `lkm'... nothing detected Checking `rexedcs'... not found Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets Checking `w55808'... not infected Checking `wted'... nothing deleted Checking `scalper'... not infected Checking `slapper'... not infected Checking `z2'... nothing deleted [root@Linux chkrootkit-0.43]#
Har sidet og stenet ftp loggen igennem og det eneste der kan undre mig i den er dette.....
Apr 18 04:04:15 Linux pure-ftpd[26741]: (?@194.239.141.249) [INFO] New connection from 194.239.141.249 Apr 18 04:04:15 Linux pure-ftpd[26741]: (?@194.239.141.249) [WARNING] Authentication failed for user [myg0th4x]
Dette forekommer meget tit, den eneste forskeld er ip nummeret... det er et nyt hver gang men samme brugernavn ???
Selvom chkrootkit ikke fandt noget, så håber jeg du har en maskine som ligner ret meget (version af OS) men har været sikret. Jeg har tidligere brugt metoden til at lægge en anden (og korrekt) udgave af (en udskiftet) netstat kommando.
Straks var output et andet - men det er netstat du skal bruge til at overvåge netværkstrafikken. Med mindre det er ping eller lignende, så vil netstat altid vise hvilken tcp trafik du har været involveret i.
[myg0t]h4x^^ is ~lolda@lcirc-30E1F8B5.hrnxx9.adsl-dhcp.tele.dk * kolle [myg0t]h4x^^ is a registered nick [myg0t]h4x^^ on #sdbot &#SALAMI-WAREZ %#myg0t [myg0t]h4x^^ using noisome.lcirc.net Offender of the senses [myg0t]h4x^^ End of /WHOIS list.
hvis du tør, så prøv lige at levere resultatet af en "netstat -an" - der kunne være nogle interessante porte på listen. Det er jo ikke utænkeligt, at der kører en anden ftp-server på maskinen - på en "fremmed" port.
Umiddelbart er brugernavnet fra ftp-loggen i hvert fald mistænkelig - både google kender den, men også at det henviser til salami-warez. Det kan selvføligelig være en "ulven kommer", men mistænkeligt er det i hvert fald.
output fra lsof -i kunne også være interessant ... men hvis det er een der kører det så er der jo den mulighed at han starter den op på bestemte tidspunkter så det kan være du skal tjekke crontabellerne
tja med 64 spillere på en server evt gange 2 eller 3 så kan det måske godt trække tænder.
Men ok - de mange login forsøg i ftp-loggen synes at understøtte tesen. Har du prøvet at smide serverens ipadresse igennem google og se om du finder "interessante" links.
Hvornår har du sidst oplevet at forbindelsen gik i top ? Og hvor tit er det (1 gang om dagen, 1 gang om ugen .. måneden ?)
Jeg ville lige nævne at: Jeg har været ude for en udskiftet ls, således man ikke kunne se folderen /usr/mystuff :)
og
bacce.dk, Du behøves ikke at installere X for at køre grafiske programer på din maskine. Installere programet og lav en ssh -X <ip>, og start dit program.
ja der skal ikke herske tvivl om at chkrootkit kun kender en begrænset mængde af rootkits, samt at en middelmådig programmør ville være i stand til at modificere et af de kendte rootkits så chkrootkit ikke ville kunne finde det... Det er vel bedst at bruge Tripwire på sine linux kasser så vidt det er muligt.
Man bør have en liste over checksum af filer på et eksternt medie(incl. programet der lavede disse), det er den eneste måde hvorpå man kan vide sig sikker
Ja som det også var kommet frem, så var jeg sluttet for den dag...
vil prøve at besvare alle....
har prøvet at søge på ip nummeret på google og det gav ingen resultater. Ja der kører en CS server, men den bliver meget lidt brugt. Jeg bruger den ikke selv. Har lavet en netstat -an og den har kun connections på port. 20 21 og 80 Problemerne opstår normalt 2 - 3 gange om dagen.... og den med de 2,5 TB trafik er første gang det er nået så højt.
Serveret gik totalt i slow og lavede straks en netstat -a på den og så, så dette... tcp 0 0 130.225.151.62:http 130.225.151.62:55368 ESTABLISHED tcp 0 0 130.225.151.62:55368 130.225.151.62:http ESTABLISHED tcp 0 0 130.225.151.62:55369 130.225.151.62:http ESTABLISHED tcp 0 0 130.225.151.62:55370 130.225.151.62:http ESTABLISHED tcp 0 0 130.225.151.62:55371 130.225.151.62:http ESTABLISHED tcp 0 0 130.225.151.62:55372 130.225.151.62:http ESTABLISHED tcp 0 0 130.225.151.62:55373 130.225.151.62:http ESTABLISHED tcp 0 0 130.225.151.62:55360 130.225.151.62:http ESTABLISHED tcp 0 0 130.225.151.62:55364 130.225.151.62:http ESTABLISHED tcp 0 0 130.225.151.62:55366 130.225.151.62:http ESTABLISHED tcp 0 0 130.225.151.62:55367 130.225.151.62:http ESTABLISHED tcp 0 0 130.225.151.62:55384 130.225.151.62:http ESTABLISHED
det er bare et udpluk.... det er sådan set serveren selv som connecter til sig selv eller hvad ??? det har aldrig været der før.....
så localhost laver altså nogle tusind forbindelser til http? Det er da mystisk, men kan da godt se at det er noget som kunne bringe webserver i knæ. Kunne det tænkes at du måske har en ting som feks htdig til at indeksere websites eller lignende?
htdig er et program som kan bruges som søgemaskine på sin website. Men htdig slipper jo sommetider en crawler/bot/spider/whatever løs til at hente alle siderne og database indeksere dem. Det var bare et skud i tågen.. Men dem kan man jo komme med mange af.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
