Re: Suse probléma, hogyan?

Veres Sándor veres.sandor at gmail.com
2015. Ápr. 28., K, 10:25:41 CEST


Szia!

2015. április 27. 15:37 Komódi István írta, <komodi at kfg.sulinet.hu>:

>
> A minap belefutottam egy olyan jellegű problémába, hogy a hálózatunk
> leblokkolt, a router cache megtelt, ugyanis dns kérések sokasága ment
> kifele. Ahogy megnélztem a nscd futott állandóan kb 30 szálon pici
> csomagokkal.
> Ráadásul kaptam az niif-től mailban, hogy sshd-n valami támadná.
> date       time         srcIP           srcPort dstIP           dstPort
> flags
>   proto #pkts
> 0421.15:45:58.139 195.199.241.140  50657 131.215.50.72       22    6      4
>
> Na ebből sokszor.
>
> Hol keressem a hibát?
>
>
> OPenSuse 11.4. Csak a lammp fut rajta



Nagy valószínűséggel feltörték a szerveredet és ugródeszkának használják
más szerverek feltöréséhez.
Az is elképzelhető, hogy a futó nscd nem is nscd daemon, hanem pl egy
szkript vagy egy program, ami így próbálja álcázni magát és ez végzi az ssh
betörési kísérleteket más szerverekre.
Nézd meg, hogy milyen elérési útvonalon van az a futó nscd, és próbáld meg
kideríteni, hogy tényleg azt végzi-e amit végeznie kellene, vagy próbáld
meg kideríteni azt, hogy milyen portokat foglal le, milyen portokon
kommunikál.

Ha tényleg feltörték a szervert, és még root jogot is szereztek (nem
elképzelhetetlen), akkor ha biztosra akarsz menni: adatmentés,
újratelepítés, TISZTA adatok visszaállítása. De mindezek előtt érdemes
lenne kideríteni, hogyan jutottak be a szerverre, helyi vagy távoli
hozzáféréssel, pl egy elavult Joomla (úgy látom ezt használtok)
frissítetlen Apache. Kiindulópont lehet az, hogy a szerver milyen
publikusan elérhető szolgáltatásokat nyújt az internet felé vagy a belső
hálózaton, mert akár az is elképzelhető, hogy a belső hálózatban lévő
fertőzött gépről törték fel. De véleményem szerint inkább az internet
felől, HTTP-n, SSH-n keresztül, de szerintem 99% hogy Joomla-n keresztül
jutottak be.

Veres Sándor
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20150428/cbaf71a3/attachment.html>


További információk a(z) Techinfo levelezőlistáról