Кто-то пингует с одного из наших серверов

12
htexture
На сайте с 29.05.2017
Offline
208
980

Какой-то сайт взломали видимо, пока антивирусники шпарят, а мой администратор не доступен и в отпуске, есть ли какой-то легкий способ включить команду на логирование и найти скрипт который посылает ssh запросы. Пароли поменяли, но жалобы сыпятся на хетзнер, а как известно, хетцнер дает 24 часа на решение проблемы либо блок сервера.

Вырезка примера жалующегося:

> Sep 21 02:39:55 batty sshd[1367836]: Failed password for root from MY_SERVER_IP port 53226 ssh2
> Sep 21 02:50:24 batty sshd[1748680]: Failed password for root from MY_SERVER_IP port 53630 ssh2
> Sep 21 02:55:43 batty sshd[1959147]: Failed password for root from MY_SERVER_IP port 58736 ssh2
> Sep 21 03:00:59 batty sshd[2154343]: Invalid user pep from MY_SERVER_IP
> Sep 21 03:01:01 batty sshd[2154343]: Failed password for invalid user pep from MY_SERVER_IP port 35160 ssh2
MY_SERVER_IP = мой айпи на хетцнере.


Не исключаю проделки конкурентов, зная как они реагируют на жалобы.

Евгений Крупченко
На сайте с 27.09.2003
Offline
178
#1

Первым делом надо обезвредить, а потом уже разбираться.


iptables -A OUTPUT -j DROP

блокирует все исходящие соединения


iptables -A OUTPUT -d 1.1.1.1 -j DROP

блокирует все исходящие на 1.1.1.1


iptables -A OUTPUT -p tcp --dport 22 -j DROP

блокирует все исходящие на 22 порт (ssh)


Но перед тем как хоть что-то править в iptables убедитесь в работающем "запасном входе" - консоль из панели в случае vps или kvm/ipmi в случае выделенного сервера.

Если вдруг нечайно заблокируете и себя, чтоб не остаться вообще без доступа.

danforth
На сайте с 18.12.2015
Offline
153
#2

ebpf, auditctl, watch netstat -pt

Junior Web Developer
htexture
На сайте с 29.05.2017
Offline
208
#3
Евгений Крупченко #:

Первым делом надо обезвредить, а потом уже разбираться.


iptables -A OUTPUT -j DROP

блокирует все исходящие соединения

Спасибо за совет, заблокировав исходящие все, я смогу все также попасть на ssh снаружи? КВМ на дешевых серверах не предоставляют насколько я понял, максимум ребут и сброс. Да и общение на hetzner не такое уж скоростное к сожалению. Пошел изучать iptables
B
На сайте с 10.10.2013
Offline
115
blg
#4
htexture #:
Спасибо за совет, заблокировав исходящие все, я смогу все также попасть на ssh снаружи? КВМ на дешевых серверах не предоставляют насколько я понял, максимум ребут и сброс. Да и общение на hetzner не такое уж скоростное к сожалению. Пошел изучать iptables

оптимальный вариант 

iptables -A OUTPUT -p tcp --dport 22 -j DROP

А так учите инструмент. 

LEOnidUKG
На сайте с 25.11.2006
Offline
1745
#5
А что вообще на сервере то? Просто сайты? Какая панель управления? Есть ли другие пользователи? У них есть доступ на SSH? 
✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
LEOnidUKG
На сайте с 25.11.2006
Offline
1745
#6

Я бы в PHP прописал php.ini

disable_functions = popen, exec, system, passthru, proc_open, shell_exec,show_source, opcache_get_status, ssh2_connect, ssh2_exec

Чтобы через PHP не смогли перебирать удалённые пароли, но надо специфику проекта вашего знать.

htexture
На сайте с 29.05.2017
Offline
208
#7
LEOnidUKG #:
А что вообще на сервере то? Просто сайты? Какая панель управления? Есть ли другие пользователи? У них есть доступ на SSH? 
Только сайты и ламповый набор от хетцнера
htexture
На сайте с 29.05.2017
Offline
208
#8
LEOnidUKG #:

Я бы в PHP прописал php.ini

disable_functions = popen, exec, system, passthru, proc_open, shell_exec,show_source, opcache_get_status, ssh2_connect, ssh2_exec

Чтобы через PHP не смогли перебирать удалённые пароли, но надо специфику проекта вашего знать.

Мистика увеличивается по мере проникновения в сервер.

Активировал disable_functions, почему-то взлетел до 400% использования процессора и куча памяти отожрал процесс cron

W1
На сайте с 22.01.2021
Offline
305
#9
htexture #:
Активировал disable_functions, почему-то взлетел до 400% использования процессора и куча памяти отожрал процесс cron

Может быть, совпало просто? Крон же по расписанию работает, подошло время, и сожрал что требуется. Теперь до следующего раза.

Мой форум - https://webinfo.guru –Там я всегда на связи
htexture
На сайте с 29.05.2017
Offline
208
#10
webinfo #:

Может быть, совпало просто? Крон же по расписанию работает, подошло время, и сожрал что требуется. Теперь до следующего раза.

Нет, замаскировали под крон процесс, темболее пользователя user у нас нету. Получается, нас взломали жестко и зашили куча ненужного хлама. Интересно как? Пароль угадали?

Интересно, что бы это значило? в логах нашел syslog


Удалив пользователя user, сомневаюсь, что получится себя защитить от взлома. Начитавшись ужастиков, про ограничение по iptables, прям страшно становится, но походу надо будет научится на тестовом сервере. 😀

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий