Форум Сайтостроение Администрирование серверов

Заблокировали сервер из-за атаки, что делать?

12
Romaldo
На сайте с 10.02.2008
Offline
185
Romaldo
2279

Здравствуйте!

Ситуация такая:

Имеется сервер на hetzner.

Его заблокировали из-за атаки с ip моего сервера.

Тех. поддержка провела проверку системы на дрянь, нашли несколько скриптов, но атака не прекратилась.

Предлагают сделать полный бекап и переустановить сервер.

В данный момент у меня нет доступов вообще никаких - все заблокировано.

Не понимаю, если зараза сидит в папке одного из сайтов, то до лампочки это действие, или нет?

Но мне говорят, что "В большинстве случаев через сайт заражается часть системы и потом уже производятся действия."

Реально я в ступоре... У меня там пара десятков сайтов, и пара из них довольно крупных.

Все стоит уже часов 12... Как оживить хотя бы несколько сатйов, и что вообще в такой ситуации делать?

---------- Добавлено 19.09.2012 в 22:34 ----------

Честно говоря я вообще ошарашен, что через сайт, может нарушится целостность системы, тем более если речь идет о linux...

Den73
На сайте с 26.06.2010
Offline
523
Den73
#1

пишите заявление что бы ип разблокировали.

....

хотя нет, берите ip-kvm и устраняйте проблему а после уже заявление.

попробуйте найти другой саппорт который найдет источник и устранит проблему, reinstall нужен только если систему похекали.

"Честно говоря я вообще ошарашен, что через сайт, может нарушится целостность системы, тем более если речь идет о linux..."

а если в вашем сайте лежит ддосилка и заливает чей то сервер?

Solmyr
На сайте с 10.09.2007
Offline
501
Solmyr
#2

Перенести крупные сайты на отдельные сервера, по одному сайту на сервер. Чтоб взлом одного сайта не приводил к проблемам с другими.

Den73
На сайте с 26.06.2010
Offline
523
Den73
#3
Solmyr:
Перенести крупные сайты на отдельные сервера, по одному сайту на сервер. Чтоб взлом одного сайта не приводил к проблемам с другими.

жестко, каждому сайту по серверу.

вполне достаточно по юзеру на 1 сервере.

Solmyr
На сайте с 10.09.2007
Offline
501
Solmyr
#4
Den73:
вполне достаточно по юзеру на 1 сервере.

А всякая фигня типа local privilege escalation?

Romaldo
На сайте с 10.02.2008
Offline
185
Romaldo
#5
Den73:
жестко, каждому сайту по серверу.

вполне достаточно по юзеру на 1 сервере.

Так и есть, на каждый сайт по юзеру...

Только что это дает?

IP уже не разблокируют.

Вчера также заблокировали IP, поддержка прогнала антивирусом, нашла скрипты и удалила их.

Отдали в ДЦ запрос, что проблема устранена.

После этого хрень повторилась, и в ДЦ сказали однозначно, что разблокировки не будет до полного решения проблемы...

А ip-kvm мне ни к чему, я все равно с этим ничего не сделаю.

На счет ддодсилки, так и есть, я просто не могу понять, она где лежит, в одной из папок одного из сайтов под одним из юзеров, или как мне говорят, уже залезла в системные папки?

У меня просто нет инструментов никаких. Например, я бы мог глушить (удалять/переименовывать) по одному пользователю, но после каждой такой процедуры мне как-то надо понять, прекратилась ли атака, а как?

I
На сайте с 05.06.2006
Offline
117
ivtrans
#6

Данные можно скопировать на внутренний сервер бекапов Hetzner, через KVM. Оттуда можно стянуть на любой сервер в Hetzner.

По поводу - где искать. Скорее всего создан пользователь и от него залиты скрипты. Видел недавно залили через MySQL, в диру /var/tmp

Миграция с ISPManager 4 в VestaCP (https://chast.in/copy-users-from-ispmanager-2-vestacp.html) Хостинг серверов, пользуюсь сам (http://vps-server.ru/rp/pl.php?96)
Romaldo
На сайте с 10.02.2008
Offline
185
Romaldo
#7
ivtrans:
Видел недавно залили через MySQL, в диру /var/tmp

Если можно через сайт залить что угодно в фактически в корень системы, тогда не понимаю, в чем защищенность линукса. Сам работаю и на mac os и на линкс, иногда на винде, но мне казалось что на линуксе такие фокусы не должны проходить, за что его вероятно и выбирают на серваки...

A
На сайте с 19.09.2012
Offline
0
asfdfdfd
#8
romagromov:
Если можно через сайт залить что угодно в фактически в корень системы, тогда не понимаю, в чем защищенность линукса. Сам работаю и на mac os и на линкс, иногда на винде, но мне казалось что на линуксе такие фокусы не должны проходить, за что его вероятно и выбирают на серваки...

Некоторые умельцы могут запустить сервер под рутом или поставить ugoa+rwx на папки/файлы или что-то в таком духе.

---------- Добавлено 20.09.2012 в 00:42 ----------

Вообще если было заражение, то сервер надо сносить и по новой накатывать. Исходники тоже брать из бекапов.

Mik Foxi
На сайте с 02.03.2011
Offline
1076
Mik Foxi
#9

ТС запретить в фаерволе исходящие соединения. и смотреть в разных логах ошибок кто куда стучался.

asfdfdfd:
Некоторые умельцы могут запустить сервер под рутом или поставить ugoa+rwx на папки/файлы или что-то в таком духе.

Ай нормально сервер может жить и когда все от рута работает ))) удобно.

Антибот, антиспам, веб файрвол, защита от накрутки поведенческих: https://antibot.cloud/ + партнерка, до 40$ с продажи.
Romaldo
На сайте с 10.02.2008
Offline
185
Romaldo
#10

Вот короче что ответили в поддержке в итоге

Боюсь, что переустановка ОС и смена сервера не поможет, т.к. вероятнее всего вредоносное ПО находится где-то в среди файлов сайтов. Самый верный способ - это найти источник атаки. В качестве временной меры можно попытаться заблокировать на фаерволе на Вашем сервере доступ к атакуемому IP-адресу 171.159.100.173, однако если атака будет повторена, например, на другой сервер, то произойдёт повторная блокировка доступа к серверу и добиться разблокировки сервера будет ещё сложнее.

Попросил вырубить исходящее соединение и включить сервер... Страшно, а что еще делать?

И как искать заразу?

Какие есть инструменты есть лично у меня?

Я готов сам глушить по очереди сайты, и проверять прекратилась ли атака, но какими инструментами это все делать....

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий