Форум Сайтостроение Администрирование серверов

Кто в курсе про /tmp/dd_ssh ?

1 234 5
V
На сайте с 05.01.2009
Offline
105
Vanger
#21
Himiko:

P.P.S.: Все сервера, по которым обращались, были только в hetzner. Странная тенденция :)

не только Хетзнер, у меня в Netdirekt такой проблемный сервер есть

Vanger добавил 08.08.2010 в 21:50

Electronn:
По оперативным данным бажным является phpmyadmin

обновите phpmyadmin до последней версии
http://www.debian.org/security/2010/dsa-2034

на CentOS нет в репозитории, ставить скачав с сайта
http://www.phpmyadmin.net/home_page/downloads.php до 2.11.10

существует эксплойт и ломают через него

+1

кстати, если кому поможет, вот данные apache access.log с моего поломанного сервера: 

server:~# cat /var/www/httpd-logs/%server-hostname.ru%.access.log

213.200.226.12 - - [08/Aug/2010:03:45:50 +0400] "GET / HTTP/1.0" 200 907 "-" "-"

213.200.226.12 - - [08/Aug/2010:03:46:08 +0400] "GET / HTTP/1.1" 200 907 "-" "Mozilla/5.0 (compatible; Nmap Scripting Engine; http://nmap.org/book/nse.html)"

213.200.226.12 - - [08/Aug/2010:03:46:08 +0400] "GET /robots.txt HTTP/1.1" 404 360 "-" "Mozilla/5.0 (compatible; Nmap Scripting Engine; http://nmap.org/book/nse.html)"

213.200.226.12 - - [08/Aug/2010:03:46:08 +0400] "GET /favicon.ico HTTP/1.1" 404 361 "-" "Mozilla/5.0 (compatible; Nmap Scripting Engine; http://nmap.org/book/nse.html)"

213.200.226.12 - - [08/Aug/2010:03:46:08 +0400] "GET / HTTP/1.1" 200 907 "-" "Mozilla/5.0 (compatible; Nmap Scripting Engine; http://nmap.org/book/nse.html)"

213.200.226.12 - - [08/Aug/2010:03:46:08 +0400] "GET / HTTP/1.1" 200 907 "-" "Mozilla/5.0 (compatible; Nmap Scripting Engine; http://nmap.org/book/nse.html)"

213.179.68.190 - - [08/Aug/2010:08:20:44 +0400] "GET HTTP/1.1 HTTP/1.1" 400 293 "-" "Toata dragostea mea pentru iEdi"

213.179.68.190 - - [08/Aug/2010:08:20:44 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 300 "-" "Toata dragostea mea pentru iEdi"

213.179.68.190 - - [08/Aug/2010:08:20:44 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 300 "-" "Toata dragostea mea pentru iEdi"

78.62.230.89 - - [08/Aug/2010:15:32:32 +0400] "GET / HTTP/1.1" 200 459 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729) WebMoney Advisor"

78.62.230.89 - - [08/Aug/2010:15:32:32 +0400] "GET /favicon.ico HTTP/1.1" 404 287 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729) WebMoney Advisor"

78.62.230.89 - - [08/Aug/2010:15:32:35 +0400] "GET /favicon.ico HTTP/1.1" 404 287 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729) WebMoney Advisor"

78.62.230.89 - - [08/Aug/2010:15:33:23 +0400] "GET / HTTP/1.1" 304 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729) WebMoney Advisor"

89.108.114.127 - - [08/Aug/2010:16:12:09 +0400] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 372 "-" "-"

85.114.141.200 - - [08/Aug/2010:18:15:08 +0400] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 372 "-" "-"

221.143.42.240 - - [08/Aug/2010:18:29:09 +0400] "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 300 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

221.143.42.240 - - [08/Aug/2010:18:29:09 +0400] "GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 295 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

221.143.42.240 - - [08/Aug/2010:18:29:11 +0400] "GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 296 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

221.143.42.240 - - [08/Aug/2010:18:29:14 +0400] "GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

221.143.42.240 - - [08/Aug/2010:18:29:18 +0400] "GET //php-my-admin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

221.143.42.240 - - [08/Aug/2010:18:29:19 +0400] "GET //myadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 298 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

221.143.42.240 - - [08/Aug/2010:18:29:20 +0400] "GET //PHPMYADMIN/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 301 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

221.143.42.240 - - [08/Aug/2010:18:29:23 +0400] "GET //p/m/a/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 296 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

203.197.87.76 - - [08/Aug/2010:20:35:45 +0400] "GET /languages/flags/ptt_bbrr.gif HTTP/1.1" 400 372 "-" "-"

p.s. Windows 98 в логе улыбнуло ))

Hosterbox.ru - хостинг, серверы и cloud (http://hosterbox.ru)
Bing Ads внедряет близкое Google о переносе сайтов Яндекс Маркет изменил расчет
Pavel.Odintsov
На сайте с 13.05.2009
Offline
169
Pavel.Odintsov
#22

Это какой-то другой сканер, как именно заносят dd_ssh мы так и не поняли, в логах пустота, видимо, по причине, что аксес лог PhpMyAdmin как таковой часто отключен.

Решение по обнаружению DDoS атак для хостинг компаний, дата центров и операторов связи: FastNetMon (https://fastnetmon.com)
teolog
На сайте с 21.05.2005
Offline
103
teolog
#23
Pavel.Odintsov:
Это какой-то другой сканер, как именно заносят dd_ssh мы так и не поняли, в логах пустота, видимо, по причине, что аксес лог PhpMyAdmin как таковой часто отключен.

А если просто спрятать phpMyAdmin, в конфиге апача прописать не стандартное, типа

Alias /phpMyAdmin , а что-то своё, видимо должно помочь?

Pavel.Odintsov
На сайте с 13.05.2009
Offline
169
Pavel.Odintsov
#24
teolog:
А если просто спрятать phpMyAdmin, в конфиге апача прописать не стандартное, типа
Alias /phpMyAdmin , а что-то своё, видимо должно помочь?

Это не такой уж неожиданный путь :) Вот если, /phpmysupertruperadminsql1711, то да, будет явно безопаснее =)

XS
На сайте с 25.05.2010
Offline
10
XptSource
#25

нужно просто удалить эти dd_ssh и vm.c и обновить phpmyadmin, проблема уходит.

На этом месте могла бы стоять ваша ссылка (но её тут никогда не будет!)
P
На сайте с 16.12.2008
Offline
30
panagorny
#26
XptSource:
нужно просто удалить эти dd_ssh и vm.c и обновить phpmyadmin, проблема уходит.

Извините за тупые вопросы. Админ впервые взял отпуск и улетел в жаркие страны бросив нас на произвол судьбы... :)

Такую же хрень мы получили позавчера... почистил от файла дд_ссх

Нашел на сайте разработчика архив с новым пхпадмином.... Скачал его и раскрыл на сервере а что елать дальше не знаю...

У нас CentOS Linux 5.5 и управление через вебмин.....

Доступ к шелу есть... он помог выявить ...

Через вебмин пробовал типа заплоадить зарзхивированный файл как апдей, раз он его не видит :(

однако там требуется не архив а файл с какимто расширением РФ

Гуглю смотрю...

Может кто поможет - комманду ссх на инстал архива или как инсталировать еще :) спс

Полномасштабный SEO аудит - Анализ скорости загрузки сайта: Яндекс.Браузер начал охоту на
Raistlin
На сайте с 01.02.2010
Offline
247
Raistlin
#27

Надо подключить репозитарий remi и написать yum update phpmyadmin после чего удалить репозитарий... Но лучше наймите на это время стороннего админа. Это сэкономит вам и нервы и время (возможно, и деньги).

HostAce - Асы в своем деле (http://hostace.ru)
P
На сайте с 16.12.2008
Offline
30
panagorny
#28

ну вот я делал по этой инструкции :(

удалил пхп админ и попробовал залить новый пишет ошибку

Package php-devel-5.3.3-2.el5.x86_64.rpm is not signed

И не устанавливает :(

Raistlin
На сайте с 01.02.2010
Offline
247
Raistlin
#29

А вы корректно добавили новый репозитарий?

M
На сайте с 01.12.2009
Offline
235
madoff
#30
panagorny:
ну вот я делал по этой инструкции :(

удалил пхп админ и попробовал залить новый пишет ошибку

Package php-devel-5.3.3-2.el5.x86_64.rpm is not signed

И не устанавливает :(

Видемо вы удалили не то что надо, пишите наладим :)

Администратор Linux,Freebsd. построения крупных проектов.
1 234 5

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий