|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
laurixx
HV vaatleja
liitunud: 27.07.2009
|
10.12.2013 19:31:47
Server rünnaku all - perl scriptid |
|
|
Server sattus rünnaku alla ja selgus,et serveris jooksevad nüüd mingi perl-scriptid, mis seal kindlasti olla ei tohiks. Kuidas need scriptid nüüd üles siis leida?
Üks näide error.log failist. Neid ridu on seal tuhandeid.
[Mon Dec 09 13:11:37 2013] [error] [client 200.205.62.251] Can't open perl script "a.pdf": No such file or directory
[Mon Dec 09 13:11:37 2013] [error] [client 200.205.62.251] Can't open perl script "a.pdf": No such file or directory
[Mon Dec 09 13:11:40 2013] [error] [client 200.205.62.251] Can't open perl script "a.pdf": No such file or directory
[Mon Dec 09 13:11:40 2013] [error] [client 200.205.62.251] Can't open perl script "a.pdf": No such file or directory
[Mon Dec 09 13:11:40 2013] [error] [client 200.205.62.251] Can't open perl script "a.pdf": No such file or directory
[Mon Dec 09 13:11:45 2013] [error] [client 200.205.62.251] script not found or unable to stat: /usr/lib/cgi-bin/php-cgi
[Mon Dec 09 13:11:46 2013] [error] [client 200.205.62.251] script not found or unable to stat: /usr/lib/cgi-bin/php.cgi
[Mon Dec 09 13:11:47 2013] [error] [client 200.205.62.251] script not found or unable to stat: /usr/lib/cgi-bin/php4
[Mon Dec 09 14:14:27 2013] [error] [client 31.210.106.39] Premature end of script headers: php
|
|
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
 |
gynterk
HV kasutaja
liitunud: 17.01.2004
|
|
10.12.2013 21:44:41
|
|
|
Logidest näeb, et proovitakse ligi pääseda failidele, mida ei eksisteeri.
Privaatserver või mingisugune jagatud hosting? Privaatserver puhul vaata, mis protsessid jooksevad ja tapa kahtlased ära, jagatud hostingus võid pöörduda teenusepakkuja poole, et nood aitaksid.
Kindlasti muuda ära kõikide FTP kontode paroolid (vanu ära mingil juhul määra). Samuti tuleks teha failides kontroll, et ega kuhugi mõni pahalane (nt PHP-Shell) ennast peitnud ole ning uurida, kuidas see sinna sai, kas nt lekkinud FTP ligipääsude kaudu või mingi augu kaudu veebis.
|
|
| Kommentaarid: 5 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
5 |
|
| tagasi üles |
|
|
laurixx
HV vaatleja
liitunud: 27.07.2009
|
|
10.12.2013 23:05:58
|
|
|
| gynterk kirjutas: |
Logidest näeb, et proovitakse ligi pääseda failidele, mida ei eksisteeri.
Privaatserver või mingisugune jagatud hosting? Privaatserver puhul vaata, mis protsessid jooksevad ja tapa kahtlased ära, jagatud hostingus võid pöörduda teenusepakkuja poole, et nood aitaksid.
Kindlasti muuda ära kõikide FTP kontode paroolid (vanu ära mingil juhul määra). Samuti tuleks teha failides kontroll, et ega kuhugi mõni pahalane (nt PHP-Shell) ennast peitnud ole ning uurida, kuidas see sinna sai, kas nt lekkinud FTP ligipääsude kaudu või mingi augu kaudu veebis. |
Tegemist privaatserveriga jah ning seda uuringi, et kuidas need pahalased php-shell, võõrad scriptid jne üles leida?
|
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
gynterk
HV kasutaja
liitunud: 17.01.2004
|
|
10.12.2013 23:18:20
|
|
|
| Vaata veebiserveri logidest kahtlaseid POST ja GET päringuid. Grep-i näiteks selle IP järgi ja vaata, mis päringuid on tehtud.
|
|
| Kommentaarid: 5 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
5 |
|
| tagasi üles |
|
|
laurixx
HV vaatleja
liitunud: 27.07.2009
|
|
10.12.2013 23:36:28
|
|
|
| gynterk kirjutas: |
| Vaata veebiserveri logidest kahtlaseid POST ja GET päringuid. Grep-i näiteks selle IP järgi ja vaata, mis päringuid on tehtud. |
POST annab tohutul hulgal selliseid vasteid:
31.210.106.39 - - [09/Dec/2013:20:26:37 +0200] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2
D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%
6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%
65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%7
3%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64
%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%
66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65
%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%7
4%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%
75%74+%2D%6E HTTP/1.1" 500 822 "-" "-"
190.85.147.171 - - [09/Dec/2013:20:46:19 +0200] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+
%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%
69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6
E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D
%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%
70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65
%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%
74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64
%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 500 822 "-" "-"
|
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
| Kommentaarid: 377 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
318 |
|
| tagasi üles |
|
|
gynterk
HV kasutaja
liitunud: 17.01.2004
|
|
11.12.2013 00:31:41
|
|
|
| Patchi/uuenda ära jah ja otsi logidest veel (exclude antud juhtumi mustrid) ja vaata, kas leiad midagi veel kahtlast.
|
|
| Kommentaarid: 5 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
5 |
|
| tagasi üles |
|
|
laurixx
HV vaatleja
liitunud: 27.07.2009
|
|
13.12.2013 08:38:06
|
|
|
Sai nüüd veidi asja uuritud. Mingi probleem on tõepoolest perl teenusega, mis läheb aegajalt tööle ning kasutab 100% CPU.
Jälitasin siis seda perl teenust
15370 www-data 20 0 31352 3940 1432 R 99 0.1 77:35.79 perl
# ps -p 15370 -o command
COMMAND
/usr/sbin/sshd
# ps xjf -C /usr/sbin/sshd
PPID PID PGID SID TTY TPGID STAT UID TIME COMMAND
7624 7634 7634 7624 pts/0 16944 S 0 0:00 su
7634 7654 7654 7624 pts/0 16944 S 0 0:00 \_ bash
7654 14325 14325 7624 pts/0 16944 T 0 0:00 \_ top
7654 14331 14331 7624 pts/0 16944 T 0 0:00 \_ top
7654 14339 14339 7624 pts/0 16944 T 0 0:00 \_ top
7654 14348 14348 7624 pts/0 16944 T 0 0:00 \_ top
7654 14377 14377 7624 pts/0 16944 T 0 0:00 \_ top
7654 14380 14380 7624 pts/0 16944 T 0 0:12 \_ top
7654 16944 16944 7624 pts/0 16944 R+ 0 0:00 \_ ps xjf -C /usr/sbin/sshd
0 1 1 1 ? -1 Ss 0 0:00 init
1 2 0 0 ? -1 S 0 0:00 [kthreadd/453]
2 3 0 0 ? -1 S 0 0:00 \_ [khelper/453]
1 72 72 72 ? -1 Ss 0 0:00 /usr/sbin/sshd
72 7552 7552 7552 ? -1 Ss 0 0:00 \_ sshd: xxx [priv]
1 284 284 284 ? -1 Ss 0 0:00 cron
1 774 774 279 ? -1 S 0 0:00 /usr/sbin/courierlogger -pid=/var/run/courier/authdaemon/
774 775 774 279 ? -1 S 0 0:00 \_ /usr/lib/courier/courier-authlib/authdaemond
775 778 774 279 ? -1 S 0 0:00 \_ /usr/lib/courier/courier-authlib/authdaemond
775 779 774 279 ? -1 S 0 0:00 \_ /usr/lib/courier/courier-authlib/authdaemond
775 780 774 279 ? -1 S 0 0:00 \_ /usr/lib/courier/courier-authlib/authdaemond
775 781 774 279 ? -1 S 0 0:00 \_ /usr/lib/courier/courier-authlib/authdaemond
775 782 774 279 ? -1 S 0 0:00 \_ /usr/lib/courier/courier-authlib/authdaemond
1 816 816 816 ? -1 Ss 0 0:05 /usr/bin/php5-fpm --fpm-config /etc/php5/fpm/php5-fpm.con
1 846 846 846 ? -1 Ss 0 0:00 /usr/sbin/saslauthd -a pam -m /var/spool/postfix/var/run/
846 847 846 846 ? -1 S 0 0:00 \_ /usr/sbin/saslauthd -a pam -m /var/spool/postfix/var/
846 848 846 846 ? -1 S 0 0:00 \_ /usr/sbin/saslauthd -a pam -m /var/spool/postfix/var/
846 850 846 846 ? -1 S 0 0:00 \_ /usr/sbin/saslauthd -a pam -m /var/spool/postfix/var/
846 851 846 846 ? -1 S 0 0:00 \_ /usr/sbin/saslauthd -a pam -m /var/spool/postfix/var/
1 865 865 865 ? -1 Ss 0 0:00 /usr/sbin/xinetd -pidfile /var/run/xinetd.pid -stayalive
1 926 925 925 ? -1 Sl 0 0:18 /usr/bin/python /usr/bin/fail2ban-server -b -s /var/run/f
1 1155 1154 1154 ? -1 S 0 0:42 python /usr/sbin/denyhosts --daemon --purge --config=/etc
1 1160 168 168 ? -1 Sl 0 0:00 /usr/sbin/console-kit-daemon --no-daemon
1 12818 12818 12818 ? -1 Ss 0 0:00 /usr/sbin/apache2 -k start
12818 12821 12821 12821 ? -1 Ssl 0 0:00 \_ PassengerWatchdog
12821 12824 12824 12821 ? -1 Sl 0 0:03 \_ PassengerHelperAgent
12824 12826 12824 12821 ? -1 Sl 0 0:15 \_ Passenger spawn server
|
Peaksin ma need kaustad nüüd läbi vaatama ja otsima sealt täpsemalt siis mida?
bin kaust siis selline, osad on mingil põhjusel ka punased..ei ole väga kursis, mis siin kaustas olema peaks ja mis mitte..
/bin# ls
bash cpio fuser lsmod plymouth touch
bunzip2 csh fusermount mkdir ps true
bzcat dash grep mknod pwd ulockmgr_server
bzcmp date gunzip mktemp rbash umount
bzdiff dbus-cleanup-sockets gzexe more readlink uname
bzegrep dbus-daemon gzip mount rm uncompress
bzexe dbus-uuidgen hostname mountpoint rmdir vdir
bzfgrep dd ip mt run-parts which
bzgrep df kbd_mode mt-gnu sed ypdomainname
bzip2 dir kill mv sh zcat
bzip2recover dmesg less netstat sh.distrib zcmp
bzless dnsdomainname lessecho nisdomainname sleep zdiff
bzmore domainname lessfile ntfs-3g stty zegrep
cat echo lesskey ntfs-3g.probe su zfgrep
check-foreground-console ed lesspipe ntfs-3g.secaudit sync zforce
chgrp egrep ln ntfs-3g.usermap tailf zgrep
chmod false loadkeys pidof tar zless
chown fgconsole login ping tcsh zmore
cp fgrep ls ping6 tempfile znew |
viimati muutis laurixx 14.12.2013 14:33:37, muudetud 1 kord |
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
| Kommentaarid: 377 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
318 |
|
| tagasi üles |
|
|
laurixx
HV vaatleja
liitunud: 27.07.2009
|
|
13.12.2013 11:40:26
|
|
|
| Andrus Luht kirjutas: |
Mis õigustes sul apache jooksis sellel (virtuaal)serveril?
Otsi faile oma masinast, mis on tekitatud või muudetud selle kasutaja poolt peale rünnaku aega.
Sinu loginest nähtub, et käivitati välist koodi selliselt:
31.210.106.39 - - [09/Dec/2013:20:26:37 +0200] "POST //cgi-bin/php?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on+-d+disable_functions=""+-d+open_basedir=none+-d+auto_prepend_file=php://input+-d+cgi.force_redirect=0+-d+cgi.redirect_status_env=0+-d+auto_prepend_file=php://input+-n HTTP/1.1" 500 822 "-" "-"
190.85.147.171 - - [09/Dec/2013:20:46:19 +0200] "POST //cgi-bin/php?-d+allow_url_include=on+-d+safe_mode=off+-d+suhosin.simulation=on+-d+disable_functions=""+-d+open_basedir=none+-d+auto_prepend_file=php://input+-d+cgi.force_redirect=0+-d+cgi.redirect_status_env=0+-d+auto_prepend_file=php://input+-n HTTP/1.1" 500 822 "-" "-" |
Mis õigustes apache jookseb? Hea küsimus, ei oskagi öelda.. kuidas seda üldse vaadata? 
Avastasin ühe jooksva sh teenuse küljest sellise asja veel:
/# ps -p 19842 -o command
COMMAND
sh -o stratum+tcp://216.230.103.42:3333 -O geox.1:x -B |
Leidsin veel /tmp/ kaustast failid:
mech.dir
ga.sh
update
sh
bash
Kustutasin need failid sealt, aga ei saa aru, kuidas need failid sinna küll satuvad.
viimati muutis laurixx 13.12.2013 11:56:12, muudetud 1 kord |
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
| Kommentaarid: 377 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
318 |
|
| tagasi üles |
|
|
laurixx
HV vaatleja
liitunud: 27.07.2009
|
|
13.12.2013 12:01:12
|
|
|
Selle lehe peal viibisin hommikul jah. Paraku jääb oskustest puudu, ega ma nende käsklustega ka kursis pole, pean kõike googeldama, enne kui mingi sammu jälle teen 
check the crontab - leidsin ühe .sh fail (birthdaygreeting), kustutasin selle.
Oh jah, paras supp ikka küll..
viimati muutis laurixx 13.12.2013 12:08:05, muudetud 1 kord |
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
Andrus Luht
itimees.ee
liitunud: 11.06.2002
|
|
| Kommentaarid: 377 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
318 |
|
| tagasi üles |
|
|
laurixx
HV vaatleja
liitunud: 27.07.2009
|
|
13.12.2013 12:18:58
|
|
|
| Andrus Luht kirjutas: |
laurixx, kompromiteeritud serveri puhul on tavaliselt kaks varianti:
a) oskad ja teed ise korda
b) ostad selle teenuse sisse
Kui tegu on mõne 4fun serveriga siis lihtsaim on vast omale vajalik sealt välja kopeerida ning serverile puhas install teha. Kui aga tõsisema asjaga siis tuleks kindlasti probleemi lahendamisesse kaasata spetsialist.
 |
Varsti on see server 4fun tõesti, hetkel peab see veel püsti püsima. Uus veeb koos uue serveriga ootamas, aga pole jõudnud andmeid veel üle tõsta.
Ühesõnaga üritan vaikselt veel pusida, pordid kinni, ip-aadressidele ban. Usun, et kannatab veel mõned päevad ära. Fail2ban ka tööle seatud.
PHP injectioni jaoks leidsin veel jupi, mis Fail2ban külge pookida.
[php-url-fopen]
enabled = true
port = http,https
filter = php-url-fopen
logpath = /var/log/apache2/access.log
maxretry = 1
|
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
gynterk
HV kasutaja
liitunud: 17.01.2004
|
|
14.12.2013 03:29:22
|
|
|
Kas augu leidsid üles, kus kaudu failid serverisse saadi? Kui mitte, siis pole portide jms kinnipanekust kasu, kui avalikul veebil ikka auk sees. /tmp kataloogis olid ilmselt asjad seetõttu, et sul nt mod_php kirjutab uploaditud asjad sinna. Patchi/uuenda kindlasti PHP ära ja otsi veel, et ega pole kahtlaseid päringuid.
Tegu on vist Debianiga eks? Debianil on selline vahva asi nagu debsums. See küll ei oska leida lisafaile, aga karjub, kui olemasolevatest pakkidest tulnud failidel checksumid valed. Kui ründaja root õigusi kätte ei saanud, siis on süsteemsed asjad puutumata. Siit ka jälle küsimus, mis kasutaja alla apache jookseb (apache confis User ja Group muutujad)? Samuti vaata netstat alt, et ega mingeid kahtlaseid ühendusi ei kuula ega välja tehta.
Samuti vaata üle erinevad logifailid, et ega sealt midagi kahtlast pole (spämmi välja saadetud vms).
|
|
| Kommentaarid: 5 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
5 |
|
| tagasi üles |
|
|
laurixx
HV vaatleja
liitunud: 27.07.2009
|
|
14.12.2013 14:43:00
|
|
|
| gynterk kirjutas: |
Kas augu leidsid üles, kus kaudu failid serverisse saadi? Kui mitte, siis pole portide jms kinnipanekust kasu, kui avalikul veebil ikka auk sees. /tmp kataloogis olid ilmselt asjad seetõttu, et sul nt mod_php kirjutab uploaditud asjad sinna. Patchi/uuenda kindlasti PHP ära ja otsi veel, et ega pole kahtlaseid päringuid.
Tegu on vist Debianiga eks? Debianil on selline vahva asi nagu debsums. See küll ei oska leida lisafaile, aga karjub, kui olemasolevatest pakkidest tulnud failidel checksumid valed. Kui ründaja root õigusi kätte ei saanud, siis on süsteemsed asjad puutumata. Siit ka jälle küsimus, mis kasutaja alla apache jookseb (apache confis User ja Group muutujad)? Samuti vaata netstat alt, et ega mingeid kahtlaseid ühendusi ei kuula ega välja tehta.
Samuti vaata üle erinevad logifailid, et ega sealt midagi kahtlast pole (spämmi välja saadetud vms). |
Tegemist Ubuntuga, root õigusi ei ole ründaja saanud jah  Alguses küll prooviti root kasutajaga ssh kaudu siseneda, aga nüüd mul Fail2ban abiks
Apache
User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}
Eile sai tegeletud väheke ka kaustaõigustega. Apache kaustad on 755 peal, failid 644 peal. /tmp kaustad panin 755 peale, sinna neid imelikke sh, bash jne faile ei teki hetkeseisuga, see muidugi ei tähenda et probleem lahenenud on. Perl teenust ei ole vähemalt nüüd öö jooksul enam käima miski tõmmanud ja CPU kokku jooksutanud, ehk on esimene hea märk. Kuigi nagu error.log näitab, siis /tmp kausta üritatakse siiski mingeid scripte laadida. Täna üritan tegeleda nende pahalaste otsimisega.
Ahjaa, PHP uuendus veel tegemata, küsikski nüüd, et mis selle uuendusega kaasneb, millised seaded mul peale uuendust on vaja muuta, et leht pärast ka töötaks? google pakub ka sada erinevat võimalust php uuenduseks, milline neist õige ja korrektne on,seda ma muidugi ei tea.
Netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 1 minuserver:www gprs-inet-65-187.:12637 LAST_ACK -
tcp 0 1 minuserver:www gprs-inet-65-187.:12605 LAST_ACK -
tcp 0 0 minuserver:www gprs-inet-65-187.:12614 TIME_WAIT -
tcp 0 0 minuserver:www gprs-inet-65-187.:37751 ESTABLISHED 13633/apache2
tcp 0 0 minuserver:www gprs-inet-65-187.:37756 ESTABLISHED 13627/apache2
tcp 0 1 minuserver:www gprs-inet-65-187.:12603 LAST_ACK -
tcp 0 0 minuserver:www gprs-inet-65-187.:37755 ESTABLISHED 13699/apache2
tcp 0 0 minuserver:www gprs-inet-65-187.:37752 ESTABLISHED 13798/apache2
tcp 0 0 minuserver:www gprs-inet-65-187.:12604 TIME_WAIT -
tcp 0 0 minuserver:www gprs-inet-65-187.:37754 ESTABLISHED 13795/apache2
tcp 0 1 minuserver:www gprs-inet-65-187.:12632 LAST_ACK -
tcp 0 0 minuserver:www gprs-inet-65-187.:37753 ESTABLISHED 13804/apache2
tcp 0 0 minuserver:www gprs-inet-65-187.:12635 TIME_WAIT -
tcp 0 1 minuserver:www gprs-inet-65-187.:12602 LAST_ACK -
tcp 0 0 minuserver:www spider-178-154-16:55942 ESTABLISHED 13799/apache2
tcp 0 0 minuserver:www gprs-inet-65-187.:12619 TIME_WAIT -
tcp 0 0 minuserver:www gprs-inet-65-187.:12633 TIME_WAIT -
tcp 0 0 minuserver:www crawl-66-249-78-2:62711 ESTABLISHED 13804/apache2
tcp 0 0 minuserver:www msnbot-157-56-93-:52507 TIME_WAIT -
tcp 0 0 minuserver:ssh 6.200.196.88.dyn.:49271 ESTABLISHED 13701/sshd: xxxx [pr |
Kahtlust tekitavad 2 eelviimast. crawl ja msnbot ? Nende kohta peaks veidi uurima vist..
auth.log kubiseb nüüd sellistest ridadest
Dec 14 11:39:01 mina CRON[11098]: PAM adding faulty module: /lib/security/pam_deny.so^M
Dec 14 11:40:01 mina CRON[11108]: PAM (cron) illegal module type: ^M
Dec 14 11:40:01 mina CRON[11108]: PAM (cron) no control flag supplied
Dec 14 11:40:01 mina CRON[11108]: PAM (cron) no module name supplied
Dec 14 11:40:01 mina CRON[11108]: PAM unable to dlopen(/lib/security/pam_permit.so^M): /lib/security/pam_permit.so^M: cannot open shared object file: No such file or directory
Dec 14 11:40:01 mina CRON[11108]: PAM adding faulty module: /lib/security/pam_permit.so^M
Dec 14 11:40:01 mina CRON[11108]: PAM unable to dlopen(/lib/security/pam_deny.so^M): /lib/security/pam_deny.so^M: cannot open shared object file: No such file or directory
|
error.log
[Sat Dec 14 12:31:08 2013] [error] [client 212.55.28.81] /tmp/sh: Permission denied
[Sat Dec 14 12:31:08 2013] [error] [client 212.55.28.81] sh:
[Sat Dec 14 12:31:08 2013] [error] [client 212.55.28.81] Can't open /tmp/sh
[Sat Dec 14 12:31:08 2013] [error] [client 212.55.28.81]
[Sat Dec 14 12:31:08 2013] [error] [client 212.55.28.81] /tmp/sh: Permission denied
[Sat Dec 14 12:31:08 2013] [error] [client 212.55.28.81] sh:
[Sat Dec 14 12:31:08 2013] [error] [client 212.55.28.81] Can't open /tmp/sh
[Sat Dec 14 12:31:08 2013] [error] [client 212.55.28.81]
[Sat Dec 14 12:31:12 2013] [error] [client 212.55.28.81] script not found or unable to stat: /usr/lib/cgi-bin/php-cgi
[Sat Dec 14 12:31:15 2013] [error] [client 212.55.28.81] script not found or unable to stat: /usr/lib/cgi-bin/php.cgi
|
Ja nagu näha, üritas keski/miski /tmp kausta neid sh faile sokutada, aga ligipääsu pole. Huvitav kuidas ma sellele jälile saan, mis neid imelikke sh faile tekitab mul seal serveris? kes/mis seda põhjustada võiks?
access.log
178.154.160.30 - - [14/Dec/2013:13:14:15 +0200] "GET /?q=node&page=81&mis=kasulikku/koerad/milline/ HTTP/1.1" 200 7518 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)"
127.0.0.1 - - [14/Dec/2013:13:14:16 +0200] "OPTIONS * HTTP/1.0" 200 152 "-" "Apache/2.2.14 (Ubuntu) (internal dummy connection)"
5.10.83.66 - - [14/Dec/2013:13:14:24 +0200] "GET /malestus/index.php?do=del&id=20110819083748&page=306 HTTP/1.1" 301 582 "-" "Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)"
|
kusjuures seda "malestus" ei ole enam serveris ammu..
|
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
|
olavsu1
külaline
|
|
17.12.2013 17:58:56
|
|
|
| laurixx, vaata cron'i rutiinid üle. cron üritab teha midagi, mida ei saa.
|
|
| tagasi üles |
|
|
estdata
Kreisi kasutaja
liitunud: 27.09.2004
|
|
28.12.2013 21:41:17
|
|
|
laurixx, nagu antud kasutaja postitas linki siis loe läbi ja seadista tulemüüri ehk siis , otsi ip ja drop ära
|
|
| Kommentaarid: 22 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
16 |
|
| tagasi üles |
|
|
Lord Ami
HV veteran
liitunud: 13.01.2006
|
|
28.12.2013 21:55:11
|
|
|
http://waf.comodo.com/
Ehk pakub huvi. Uus ja tasuta asi (muutub vist mingil moel tasuliseks, aga seda tulevikus).
|
|
| Kommentaarid: 57 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
52 |
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
