Случилось счастье. Систему взломали. :( Freebsd 5.4 Nat+Apache+php+Mysql+perl+ssh+webmin+ftp.
Система расчитывалась на личное использование и никаких мер по безопасности в приципе не предпринималось (не надо кидать гнилыми помидорами и орать «Ну и лох же ты!» сам понимаю, был не прав).
В итоге с указанной системы (данные на основании ип-адреса) производилась рассылка спама.
В связи с вышеуказанными событиями прошу помочь (самому изучать вопрос досконально нет ни сил, ни времени):
1.Определить тип взлома (использование системы как банальный прокси или рассылка через sendmail, или третий вариант о котором я не подозреваю)
2.Определить взломщика (в смысле ип-адреса. да я знаю что, нужно листать логи, но их слишком много, возможно ли прогнать по поиску?)
3.Как защитить систему? (дельные советы, а не типа «закрыть несипользуемые службы и настроить фаерволл»)
Прошу подсказать список минимально необходимых пакетов для установки данной системы, с фаерволами ниразу не сталкивался. Апач был закрыт htaccess. доступ к wuftpd только по паролю. Вся система ставилась с диска из пакетов.
P.S. Учитывая свою твердолобость и сложность вопроса скорее всего меня пошлют в RTFM…
Последние комментарии
-
OlegL, 17 декабря в 15:00 →
Перекличка
21
-
REDkiy, 8 июня 2023 года в 9:09 →
Как «замокать» файл для юниттеста в Python?
2
-
fhunter, 29 ноября 2022 года в 2:09 →
Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt?
6
-
Иванн, 9 апреля 2022 года в 8:31 →
Ассоциация РАСПО провела первое учредительное собрание
1
-
Kiri11.ADV1, 7 марта 2021 года в 12:01 →
Логи catalina.out в TomCat 9 в формате JSON
1
ecobeing.ru
Поиск по логам это очень просто.
Смотри, тебе нужно посмотреть все айпишники, которые коннектились, скажем к ssh.
Это значит, что тебе выдадут только строки, в которых имеется слово ssh, если на ftp — меняешь ssh на ftp ну и так далее.
Могу наврать про имя лога, я меня фрибзд давненько небыло. Тебе виднее, какой из них катать (-:
Советы:
1. Почитать багтрак на свой софт, скачать заплатки, поставить.
2. Ставить хорошие пароли, может тебя банально отбрутфорсили.
3. Не давать сомнительным знакомым ssh аккаунтов (-;
А фаервол и правда лучше настроить.
Хотелось бы сначала посмотреть логи, исходя из которых сделан вывод о взломе.
Вариант о брутфорсе я опускаю по причине его очевидности…
Рискну предположить, что с очень большой вероятностью взлом был произведен через дырявые скрипты (не просто так ведь php стоит?).
Далее прошу читать людей исключительно заинтересованных и альтруистичных, готовых помочь делом, а не ссылками на RTFM (читать и изучать нет времени, а сервак нужен). Всем заранее большое спасибо.
Логи по десятку мегабайт. Листать их тут я не рискну.
Дырявые скрипты… Ну если мои то наврядли… Все закрыто htaccess.
Правда стоял phpmyadmin и webmin….
Вот они и могли подвести…
В логах четко прослеживался брутфорс пользователя ssh однако успешного входа я не видел (может подтерто, может просмотрел)
Абсолютно не знаю как конфигурить фаерволл… Можно ли его сконфигурить так чтобы только с определенных ИП был доступ на все, а остальные вообще не видели данного сервака(учитывая что это роутер с NAT)?
Можно ли после 3 неудачных коннектов вносить блокировать Ип-адрес и вносить данные в отдельный лог.
А еще такой вопрос. Как определить каким образом рассылался спам?
В rc.conf строка sendmail_enable=«NO»
остаются варианты perl или php
Но как в них проникнуть. ведь для этого нужен апач, а он за htaccess…
Или как обычно я чего-то не понимаю.
Сейчас стоит вопрос: Сносить систему и делать все заново или отлаживать существующию?
Учитвая возможность затроянивания склоняюсь к первому варианту.
Вывод о взломе сделан на основе данных о спаме с abuse.com спам рассылался с ип моего сервачка :(
Причем тут заинтересованность и альтруистичность?
На всю страницу текста ты не привел никакой полезной информации. Ни логов, ни конфигов, ни скриптов.
И чего ты после этого хочешь?
PS отмазка про длину логов — это феерично.
Есть вероятность, что спам рассылает затрояненный пользователь из твоей сети.
У меня такой же случай был… Спам слался с заражённого компа из моей сети….
Если актуально, то попробуй
tcpdump -i rl1 | grep smtp
вместо rl1- твоя сетевая, которая смотрит во внешку…
Солидарен. Если на серваке нету сенмэйла то это самый вероятный вариант. Вначале всех заставить пролечиться и посидеть повтыкать в вывод тспдумп.