Приходит абуза, не могу найти проблему

12
A5
На сайте с 02.06.2009
Offline
150
3157

Приветствую!

Уже второй раз приходит абуза с hetzner о присутствии на сервере malware.

Присылают техданные на IP, пример:


Format: ASN | IP | Timestamp (UTC) | Malware | SRC port | DST ip | DST port | DST host | Proto
24940 | 94.130.*.* | 2018-12-21 17:14:02 | andromeda | 60834 | 104.42.225.122 | 80 | taloodd.ru |

Debian. В логах ничего не нашел.

Настроил/прогнал maldet, прошел по всем сайтам. Ничего не нашел. На сервере стоит настроеный ufw. Выше указанный порт в нем закрыт.

Где искать? Заранее благодарю!

A5
На сайте с 02.06.2009
Offline
150
#1

Никто не знает?

Solmyr
На сайте с 10.09.2007
Offline
494
#2
awx5:
В логах ничего не нашел.

А в каких логах искали?

awx5:
Выше указанный порт в нем закрыт.

В каком смысле порт закрыт? Это порт исходящего TCP-подключения, его приложение, в данном случае ботнет андромеда, назначает себе автоматически. Порты исходящих подключений обычно файрволами не закрывают, закрывают входящие порты. Закрывать, кстати, бесполезно. Программу которая это делает ищите.

LEOnidUKG
На сайте с 25.11.2006
Offline
1550
#3

Домен захватили taloodd.ru майкрасофт для борьбы с вирусом.

И они теперь долбят всех, кто к ним обращается.

Вы проверяли, что у вас порт закрыт 60834 на вход и выход? Правила смотрели руками?

В любом случаи, мой вариант действий делать бэкап сайтов, если конечно у вас сайтовый сайт. И полностью переустанавливать систему. Где-то вы не успели её обновить или какой-то софт попался кривой.

---------- Добавлено 27.12.2018 в 20:40 ----------

Конечно можете попробовать какой-нибудь clamav антивирусник, но если ничего не найдёт, тогда всё.

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
PA
На сайте с 15.02.2018
Offline
57
#4

Если с панелькой с быстрым восстановлением бекапа и не тьма сайтов, то переустановить и восстановить быстренько. Ну или антивирусником и правда погонять. Как вариант найти очень толкового системного администратора.

Почти дедик (https://goo.gl/qV1T7s) дешево|Мои VDS (https://is.gd/vds100) быстрее твоих|Продаю хостинг
LEOnidUKG
На сайте с 25.11.2006
Offline
1550
#5
Как вариант найти очень толкового системного администратора.

А смысл? Быстрее или дешевле, всё переустановить.

A5
На сайте с 02.06.2009
Offline
150
#6
Solmyr:
А в каких логах искали?

По всем логам искал DST IP, порт. Плюс по времени (таймстампы из абуз)

в auth.log тоже чисто

Solmyr:
Программу которая это делает ищите.

Вот и вопрос как ее найти, на сервер все ставилось только из пакетов.

Удалил все сомнительное и неиспользуемое из dpkg

но нет уверенности что поможет

LEOnidUKG:

В любом случаи, мой вариант действий делать бэкап сайтов, если конечно у вас сайтовый сайт. И полностью переустанавливать систему. Где-то вы не успели её обновить или какой-то софт попался кривой.

Бекапы понятно, переустановка конечно вариант, но много перенастраивать придется. Хотелось бы по возможности избежать этого.

Антивирусником гонял, clamav конкретно нет, сейчас прогоню, посмотрим.

LEOnidUKG:
всё переустановить.

:(

LEOnidUKG
На сайте с 25.11.2006
Offline
1550
#7
но много перенастраивать придется.

Конфиги тоже можно сохранять, они все папке /etc/

rustelekom
На сайте с 20.04.2005
Offline
476
#8

Если малваря соединяется со сторонним сервером, то в логах копаться бесполезно, нужно завести лог исходящих соединений с помощью tcpdump к примеру. И блокировать их заодно iptables используя баш скрипты.

SSD KVM ВПС от 149 ₽ в Германии. SSD хостинг от 119 ₽ в Германии или России |Выделенные серверы в Европе, Азии, США и РФ (https://www.robovps.biz/) Контакты: Telegram чат (https://t.me/rustelekom_bot) или LiveChat на любом из наших сайтов.
A5
На сайте с 02.06.2009
Offline
150
#9

На вирусы прогнал, ничего не нашло.

С tcpdump интересно. Учитывая что IP в абузах статичен, поставил по нему фильтрацию.

Напишу если найду чего.

A5
На сайте с 02.06.2009
Offline
150
#10
DOKTORseo:
Хецнер вообще маниакальный к абузам, советую сьезжать с него, так как пару абуз подряд и серв отрубят без возможности восстановления.

Тут не совсем обычная абуза, а абуза из CERT-Bund Reports

Насколько я понял имеет рекоммендательный характер

По крайне мере, пока что...

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий