aloha чё за звер? нужны ваши мысли.

12 3
madoff
На сайте с 01.12.2009
Offline
235
4006

Не знаю что думать =), что за зверь такой и как он пробрался, данные привожу.

P.S Да кстати это VPS

 nginx -v
nginx version: nginx/0.8.33
httpd -v
Server version: Apache/2.2.3
Server built: Nov 12 2009 18:43:41

ps aux 

apache 24091 0.9 0.4 88992 6704 pts/0 S+ 22:10 0:04 python svwar.py -v -e100-9999 120.138.16.75
apache 24093 1.0 0.4 88992 6700 pts/0 S+ 22:10 0:04 python svwar.py -v -d users.txt 120.138.16.75
apache 24659 0.0 0.0 19460 1148 ? Ss 17:23 0:07 SCREEN -A -m -d -S sip1 ./svmap.py -s sesiunea123 --randomize 120.0.0.0/8
apache 24660 4.1 0.7 97176 11068 pts/0 Rs+ 17:23 12:13 python ./svmap.py -s sesiunea123 --randomize 120.0.0.0/8
apache 25624 2.6 0.4 91092 6720 pts/0 S+ 22:16 0:02 python svcrack.py -v -d parole.txt 120.138.16.75 -u 8500
apache 25657 2.5 0.4 91092 6712 pts/0 S+ 22:16 0:02 python svcrack.py -v -d parole.txt 120.138.16.75 -u 8501

python  24091 apache  /var/lib/nginx/tmp/proxy/7/00/aloha


[root@vps575 aloha]# ls -la /var/lib/nginx/tmp/proxy/7/00/aloha
total 3696
drwxr-xr-x 4 apache apache 4096 Oct 25 17:36 .
drwxrwxrwx 3 nginx root 4096 Oct 23 08:52 ..
drwx------ 3 apache apache 4096 Oct 25 17:23 .sipvicious
drwxr-xr-x 6 apache apache 4096 Aug 10 2008 .svn
-rwxr-xr-x 1 apache apache 4834 Aug 10 2008 Changelog
-rw-r--r-- 1 apache apache 1050898 Jul 2 21:01 GeoIP.dat
-rwxr-xr-x 1 apache apache 1361 Aug 10 2008 README
-rwxr-xr-x 1 apache apache 308 Aug 10 2008 THANKS
-rwxr-xr-x 1 apache apache 80 Aug 10 2008 TODO
-rw-rw-rw- 1 apache apache 12 Oct 25 17:21 clase.txt
-rwxr-xr-x 1 apache apache 553 Jul 31 02:19 doit.sh
-rwxr-xr-x 1 apache apache 46 Jul 31 03:03 end.sh
-rwxr-xr-x 1 apache apache 12175 Aug 10 2008 fphelper.py
-rwxr-xr-x 1 apache apache 12452 Aug 21 2009 fphelper.pyc
-rwxr-xr-x 1 apache apache 117 Jul 31 01:44 geoip.pl
-rwxr-xr-x 1 apache apache 12288 Aug 21 2008 groupdb
-rwxr-xr-x 1 apache apache 35886 Aug 10 2008 helper.py
-rwxr-xr-x 1 apache apache 35300 Aug 21 2009 helper.pyc
-rwxr-xr-x 1 apache apache 660 Jul 31 04:23 ip.sh
-rwxr-xr-x 1 apache apache 337 Jul 31 04:23 ip.sh~
-rwxr-xr-x 1 apache apache 2 Aug 21 2008 log
-rwxr-xr-x 1 apache apache 424 Jul 31 04:23 mail_test.sh
-rwxr-xr-x 1 apache apache 420 Jul 31 04:23 mail_test.sh~
-rw-r--r-- 1 apache apache 21 Sep 1 09:16 mail_to.txt
-rw-r--r-- 1 apache apache 819483 Oct 4 00:53 parole.txt
-rwxr-xr-x 1 apache apache 4298 Aug 10 2008 pptable.py
-rwxr-xr-x 1 apache apache 4960 Aug 21 2009 pptable.pyc
-rwxr-xr-x 1 apache apache 14052 Jul 31 00:52 pygeoip.py
-rw-r--r-- 1 apache apache 14117 Jul 31 00:52 pygeoip.pyc
-rwxr-xr-x 1 apache apache 4229 Aug 10 2008 regen.py
-rwxr-xr-x 1 apache apache 4068 Aug 21 2009 regen.pyc
-rw-rw-rw- 1 apache apache 607 Oct 25 21:43 results.txt
-rwxr-xr-x 1 apache apache 249980 Dec 8 2009 screen
-rwxr-xr-x 1 apache apache 1837 Jun 14 22:10 sipuli.txt
-rwxr-xr-x 1 apache apache 110592 Oct 25 17:24 staticfull
-rwxr-xr-x 1 apache apache 282624 Oct 25 17:24 staticheaders
-rwxr-xr-x 1 apache apache 749 Aug 10 2008 sv.xsl
-rwxr-xr-x 1 apache apache 21834 Jul 31 01:28 svcrack.py
-rwxr-xr-x 1 apache apache 9159 Aug 10 2008 svlearnfp.py
-rwxr-xr-x 1 apache apache 22045 Aug 21 2008 svmap.py
-rwxr-xr-x 1 apache apache 8285 Aug 10 2008 svreport.py
-rwxr-xr-x 1 apache apache 24458 Aug 20 2008 svwar.py
-rwxr-xr-x 1 apache apache 216 Jul 31 00:52 t.py
-rwxr-xr-x 1 apache apache 45056 Aug 21 2008 totag
-rw-r--r-- 1 apache apache 819483 Oct 4 00:53 users.txt
Администратор Linux,Freebsd. (/ru/forum/494299) построения крупных проектов. ICQ#: 241606.
R
На сайте с 14.02.2010
Offline
77
#1

sipvicious - крякалка sip-паролей (http://code.google.com/p/sipvicious/)

а как появилась... ну это уже фик знает, может залили руками, может через дыру.. ну и запустили в скринах, значит руками скорей всего))

так как юзер apache - ищите шелл (в cms, форумах и т.п.), бейте админов оных...

madoff
На сайте с 01.12.2009
Offline
235
#2

В раздумьях =)

D
На сайте с 18.11.2010
Offline
0
#3
madoff:
В раздумьях =)

Привет, мой друг. Мой компьютер сервера также проникли с этим стилем атаки. Я был не в состоянии определить, как они достигли, чтобы получить доступ.

Они спрятали код в /dev/shm/.../.old на моем компьютере.

Был пароль перехватили? Они знали, мой пароль не догадываясь. Каким-то образом они уже знали. Возможно, некоторые программы существует я не должен верить.

Пожалуйста, если у вас есть подсказки, поделитесь с нами.

Я прошу прощения за использование переводчика. Я изучал русский язык только за один год.

madoff
На сайте с 01.12.2009
Offline
235
#4

Нужно смотреть, я не помню как решили данную проблему.

pupseg
На сайте с 14.05.2010
Offline
329
#5

было у меня такое на четырех серверах.

как решать - знаю, и как проникло - тоже знаю.

и называется он часто - не алоха, а алоха - только вариант.

так же вам повезло, что еще пока только с правами apache запустились.

проникнут еще раз, даже если удалите.

и даже вот такой емайл мне писали:


-------- Исходное сообщение --------
Тема: Some of your IP numbers are attempting SSH Bruteforce/Scanning
Дата: Wed, 10 Nov 2010 19:12:40 -0500
От: soc@uga.edu
Кому: , ********
Копия: , soc@uga.edu

Hello,
An IP for which you are listed as a WHOIS contact was recently seen
attempting to brute-force or scan our SSH servers. This behavior is
unwanted, and we ask that you take whatever steps necessary to stop
these hostile actions. We have included a summary of the SSH connections
seen below.
Dates are formatted as MM-DD-YYYY. Times are in EST/EDT and indicate
initial contact time, the column Dst's is the number of unique hosts on
our network the IP tried to contact, and "Sessions" are the number of
network sessions created.

Date Time Source IP Packets
Bytes Sessions Dst's Status CC Network Name
11-10-2010 19:08:21.826647 <айпишнег-моего-сервера> 13951
1012370 6142 6141 blocked RU **********

Thanks for your help in this matter.
UGA Office of Information Security
Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).
M
На сайте с 16.09.2009
Offline
278
#6
pupseg:
было у меня такое на четырех серверах.
как решать - знаю, и как проникло - тоже знаю.

Очень интересно, как? Особенно интересно потому как...

pupseg:

проникнут еще раз, даже если удалите.

Ну а тут сами виноваты:

pupseg:
и даже вот такой емайл мне писали:

Вам реально нужно всякую шваль пускать наружу с сервера - или Вы просто не умеете настроить файервол?

Абонементное сопровождение серверов (Debian) Отправить личное сообщение (), написать письмо ().
pupseg
На сайте с 14.05.2010
Offline
329
#7
myhand:
Очень интересно, как? Особенно интересно потому как...


Ну а тут сами виноваты:

Вам реально нужно всякую шваль пускать наружу с сервера - или Вы просто не умеете настроить файервол?

категорически просили не ставить пакетных фильтров.

стучите в аську или личку... поделюсь своими предположениями... по крайней мере - мои объяснения того,как оно залетело правдоподобны ... в чем то..

я бы пострадавшим, и возможно пострадавшим

рекомендовал бы еще посмотреть

[root@siters /]# lsattr /usr/sbin/sshd
------------- /usr/sbin/sshd
[root@siters /]# lsattr /usr/bin/ssh
------------- /usr/bin/ssh
[root@siters /]# lsattr /usr/bin/scp
------------- /usr/bin/scp
[root@siters /]#

выше, нормальный вывод, такой, как делает ОС.

Andreyka
На сайте с 19.02.2005
Offline
819
#8

Ибо nginx и apache должны от разных юзверей работать

Но не все это понимают

Не стоит плодить сущности без необходимости
M
На сайте с 16.09.2009
Offline
278
#9
Andreyka:
Ибо nginx и apache должны от разных юзверей работать
Но не все это понимают

В принципе, да - но зверушка просто забралась бы в другое место, доступное на запись скриптам (от апача).

pupseg:
выше, нормальный вывод, такой, как делает ОС.

ОС делает черточек побольше. Доктор, это нормально?

А если серьезно - что конкретно оно меняет и почему Вы считаете что виновата зверушка, а не мегаадмин-параноик?

pupseg
На сайте с 14.05.2010
Offline
329
#10

в общем, кому интересно , как победил я - пешите в личку, дабы не раздувать срачь..

мои мнения - как оно проникло,как оставалось в системе,как проникало даже после смены паролей и т д - они - чисто субъективны... я не претендую на правоту, мегамозгов здесь много. Одно осталось фактом -на одной тестовой машине я эту пежню не гасил, и присмотрел за ней.... повторюсь, не претендую на 100% правоту, но хрен его знает....

ТС, проверьте в /var/tmp /tmp /dev/shm нет ли файлика с +х под названием .as ?

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий