Форум Сайтостроение Администрирование серверов

Взлом сайта и rkhunter

12
MZ
На сайте с 18.08.2009
Offline
96
MAzZYBiG
1723

Добрый день

На днях один сайт на сервере был взломан, всю дрянь я вычистил. Но осталась проблема 

rkhunter -c --rwo

Warning: The file properties have changed:

         File: /usr/bin/curl

         Current hash: 9646f5f4dd457f4d00d3fdc6e44cdc89bd4ca8e3

         Stored hash : c728aa4f404a693fb91036493700164bd3c36a07

         Current inode: 19007691    Stored inode: 19005662

         Current file modification time: 1415217759 (06-Ноя-2014 00:02:39)

         Stored file modification time : 1376579766 (15-Авг-2013 19:16:06)

Warning: The file properties have changed:

         File: /usr/bin/wget

         Current hash: dd0a84f2a6c121ec97607c509a3fe9469e68e6fb

         Stored hash : 3f0d8fab9fa5cf8d513b8cdfc442bc782fd5a075

         Current inode: 19005587    Stored inode: 19006306

         Current size: 369616    Stored size: 365512

         Current file modification time: 1414660994 (30-Окт-2014 13:23:14)

         Stored file modification time : 1333996661 (09-Апр-2012 22:37:41)

Я удалил wget и curl, переустановил их, но по прежнему выдаёт это предупреждение и говорит, что сервер взломан.

Как это понять и что с этим можно сделать?

---------- Добавлено 19.11.2014 в 14:06 ----------

Почему я связываю изменения в этих файлах со взломом - изменения curl были от сегодняшнего числа. Это сейчас там стоит 6 ноября, потому что переустановил.

lonelywoolf
На сайте с 23.12.2013
Offline
151
lonelywoolf
#1

Переустановили на те же версии, что и были, или все же обновили? Хеш и инод совпадать уже не могут, остался вопрос в размере. Если делалось сначала удаление, потом установка - вы, скорее всего, поставили более новые версии. Обновляться нужно чаще.

Платный и бесплатный хостинг с защитой от DDoS (http://aquinas.su)
Яндекс обновил Картинки WordPress Gutenberg 10.2 несовместим Яндекс обновил руководство по
Andron_buton
На сайте с 19.07.2007
Offline
270
Andron_buton
#2

MAzZYBiG, показать netstat-lnp

Почитать что такое backdoor

MZ
На сайте с 18.08.2009
Offline
96
MAzZYBiG
#3
lonelywoolf:
Переустановили на те же версии, что и были, или все же обновили?

apt-get update

apt-get remove curl

apt-get install curl

---------- Добавлено 19.11.2014 в 14:28 ----------

Andron_buton,


 netstat -lnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      10333/dovecot
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      10333/dovecot
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      7411/nginx
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      10557/master
tcp        0      0 xxx.40.38.207:53        0.0.0.0:*               LISTEN      10268/named
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      10268/named
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      10557/master
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      10268/named
tcp        0      0 0.0.0.0:55225           0.0.0.0:*               LISTEN      10001/sshd
tcp        0      0 xxx.40.38.207:443       0.0.0.0:*               LISTEN      7411/nginx
tcp        0      0 xxx.40.38.207:1500      0.0.0.0:*               LISTEN      29373/ihttpd
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      10333/dovecot
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      10333/dovecot
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      4378/mysqld
tcp6       0      0 :::465                  :::*                    LISTEN      10557/master
tcp6       0      0 :::81                   :::*                    LISTEN      2043/apache2
tcp6       0      0 :::21                   :::*                    LISTEN      29652/proftpd: (acc
tcp6       0      0 :::53                   :::*                    LISTEN      10268/named
tcp6       0      0 :::25                   :::*                    LISTEN      10557/master
tcp6       0      0 ::1:953                 :::*                    LISTEN      10268/named
tcp6       0      0 :::55225                :::*                    LISTEN      10001/sshd
udp        0      0 xxx.40.38.207:53        0.0.0.0:*                           10268/named
udp        0      0 127.0.0.1:53            0.0.0.0:*                           10268/named
udp        0      0 xxx.40.38.207:123       0.0.0.0:*                           10098/ntpd
udp        0      0 127.0.0.1:123           0.0.0.0:*                           10098/ntpd
udp        0      0 0.0.0.0:123             0.0.0.0:*                           10098/ntpd
udp6       0      0 :::53                   :::*                                10268/named
udp6       0      0 ::1:123                 :::*                                10098/ntpd
udp6       0      0 2a01:4f8:100:1363:::123 :::*                                10098/ntpd
udp6       0      0 fe80::224:21ff:fe5f:123 :::*                                10098/ntpd
udp6       0      0 :::123                  :::*                                10098/ntpd
Active UNIX domain sockets (only servers)
Proto RefCnt Flags       Type       State         I-Node   PID/Program name    Path
unix  2      [ ACC ]     STREAM     LISTENING     220289535 10333/dovecot       /var/run/dovecot/auth-client
unix  2      [ ACC ]     STREAM     LISTENING     220297179 10557/master        private/ifmail
unix  2      [ ACC ]     STREAM     LISTENING     220289539 10333/dovecot       /var/run/dovecot/auth-userdb
unix  2      [ ACC ]     STREAM     LISTENING     220297131 10557/master        public/flush
unix  2      [ ACC ]     STREAM     LISTENING     220289543 10333/dovecot       /var/run/dovecot/auth-master
unix  2      [ ACC ]     STREAM     LISTENING     220289547 10333/dovecot       /var/run/dovecot/auth-worker
unix  2      [ ACC ]     STREAM     LISTENING     220297182 10557/master        private/bsmtp
unix  2      [ ACC ]     STREAM     LISTENING     220289551 10333/dovecot       /var/run/dovecot/anvil
unix  2      [ ACC ]     STREAM     LISTENING     220297185 10557/master        private/scalemail-backend
unix  2      [ ACC ]     STREAM     LISTENING     220289555 10333/dovecot       /var/run/dovecot/anvil-auth-penalty
unix  2      [ ACC ]     STREAM     LISTENING     220297188 10557/master        private/mailman
unix  2      [ ACC ]     STREAM     LISTENING     372976881 11805/ispmgr        tmp/ispmgr.sock
unix  2      [ ACC ]     STREAM     LISTENING     372976882 11805/ispmgr        tmp/ispmgr.adm.sock
unix  2      [ ACC ]     STREAM     LISTENING     11313    2589/dbus-daemon    /var/run/dbus/system_bus_socket
unix  2      [ ACC ]     STREAM     LISTENING     220297134 10557/master        private/proxymap
unix  2      [ ACC ]     STREAM     LISTENING     220297137 10557/master        private/proxywrite
unix  2      [ ACC ]     STREAM     LISTENING     220297140 10557/master        private/smtp
unix  2      [ ACC ]     STREAM     LISTENING     220297143 10557/master        private/relay
unix  2      [ ACC ]     STREAM     LISTENING     220297146 10557/master        public/showq
unix  2      [ ACC ]     STREAM     LISTENING     4457     2429/acpid          /var/run/acpid.socket
unix  2      [ ACC ]     STREAM     LISTENING     220297149 10557/master        private/error
unix  2      [ ACC ]     STREAM     LISTENING     220297152 10557/master        private/retry
unix  2      [ ACC ]     STREAM     LISTENING     220297155 10557/master        private/discard
unix  2      [ ACC ]     STREAM     LISTENING     220297158 10557/master        private/local
unix  2      [ ACC ]     STREAM     LISTENING     220297116 10557/master        private/rewrite
unix  2      [ ACC ]     STREAM     LISTENING     220297161 10557/master        private/virtual
unix  2      [ ACC ]     STREAM     LISTENING     220297164 10557/master        private/lmtp
unix  2      [ ACC ]     STREAM     LISTENING     220289461 10333/dovecot       /var/run/dovecot/stats
unix  2      [ ACC ]     STREAM     LISTENING     220289464 10333/dovecot       /var/run/dovecot/login/ssl-params
unix  2      [ ACC ]     STREAM     LISTENING     220289468 10333/dovecot       /var/run/dovecot/replicator
unix  2      [ ACC ]     STREAM     LISTENING     220297119 10557/master        private/bounce
unix  2      [ ACC ]     STREAM     LISTENING     220289472 10333/dovecot       /var/run/dovecot/replication-notify
unix  2      [ ACC ]     STREAM     LISTENING     8130     4378/mysqld         /var/run/mysqld/mysqld.sock
unix  2      [ ACC ]     STREAM     LISTENING     220289475 10333/dovecot       /var/run/dovecot/login/pop3
unix  2      [ ACC ]     STREAM     LISTENING     220297108 10557/master        public/cleanup
unix  2      [ ACC ]     STREAM     LISTENING     220289481 10333/dovecot       /var/run/dovecot/log-errors
unix  2      [ ACC ]     STREAM     LISTENING     220297167 10557/master        private/anvil
unix  2      [ ACC ]     STREAM     LISTENING     220289485 10333/dovecot       /var/run/dovecot/ipc
unix  2      [ ACC ]     STREAM     LISTENING     220289487 10333/dovecot       /var/run/dovecot/login/ipc-proxy
unix  2      [ ACC ]     STREAM     LISTENING     220297170 10557/master        private/scache
unix  2      [ ACC ]     STREAM     LISTENING     220289491 10333/dovecot       /var/run/dovecot/indexer-worker
unix  2      [ ACC ]     STREAM     LISTENING     220289495 10333/dovecot       /var/run/dovecot/indexer
unix  2      [ ACC ]     STREAM     LISTENING     220297113 10557/master        private/tlsmgr
unix  2      [ ACC ]     STREAM     LISTENING     220289497 10333/dovecot       /var/run/dovecot/login/imap
unix  2      [ ACC ]     STREAM     LISTENING     220297122 10557/master        private/defer
unix  2      [ ACC ]     STREAM     LISTENING     220289503 10333/dovecot       /var/run/dovecot/doveadm-server
unix  2      [ ACC ]     SEQPACKET  LISTENING     3552     460/udevd           /run/udev/control
unix  2      [ ACC ]     STREAM     LISTENING     220289507 10333/dovecot       /var/run/dovecot/dns-client
unix  2      [ ACC ]     STREAM     LISTENING     220297173 10557/master        private/maildrop
unix  2      [ ACC ]     STREAM     LISTENING     220289509 10333/dovecot       /var/run/dovecot/login/dns-client
unix  2      [ ACC ]     STREAM     LISTENING     220289513 10333/dovecot       /var/run/dovecot/director-admin
unix  2      [ ACC ]     STREAM     LISTENING     220289517 10333/dovecot       /var/run/dovecot/director-userdb
unix  2      [ ACC ]     STREAM     LISTENING     220297125 10557/master        private/trace
unix  2      [ ACC ]     STREAM     LISTENING     220297128 10557/master        private/verify
unix  2      [ ACC ]     STREAM     LISTENING     220289521 10333/dovecot       /var/run/dovecot/dict
unix  2      [ ACC ]     STREAM     LISTENING     220289525 10333/dovecot       /var/run/dovecot/config
unix  2      [ ACC ]     STREAM     LISTENING     220297176 10557/master        private/uucp
unix  2      [ ACC ]     STREAM     LISTENING     220289527 10333/dovecot       /var/run/dovecot/login/login
unix  2      [ ACC ]     STREAM     LISTENING     220289531 10333/dovecot       /var/run/dovecot/auth-login


Оптимизайка
На сайте с 11.03.2012
Offline
396
Оптимизайка
#4

А вы делаете после каждого обновления системы

sudo rkhunter --update

sudo rkhunter --propupd

Возможно, у rkhunter просто БД устарела, а wget и curl "приехали" с обновлениями.

Проверьте rpm -V curl && rpm -V wget

Или dpkg -V curl && dpkg -V wget смотря что там у вас

А что за дрянь вы вычищали, как сервер был взломан, выяснили?

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
Google о Core Updates Запуск Google Speed Update Google создал форму для
MZ
На сайте с 18.08.2009
Offline
96
MAzZYBiG
#5
Оптимизайка:
sudo rkhunter --propupd

Вот сейчас обновил

Оптимизайка:
Или dpkg -V curl && dpkg -V wget смотря что там у вас

debsums показывает всё ОК

Оптимизайка:
А что за дрянь вы вычищали, как сервер был взломан, выяснили?

Походу, в каком-то скрипте сайта был бэкдор встроен. Влили шэллы, мэйлеры и прочую дрянь.

Оптимизайка
На сайте с 11.03.2012
Offline
396
Оптимизайка
#6
MAzZYBiG:
debsums показывает всё ОК

Для пущей уверенности стоит загрузиться с "чистого" носителя, примонтировать корневую ФС со взломанной системы и проверить контрольные суммы, т.к. хорошие руткиты должны подменять стандартные команды и выдавать что типа все ОК ;)

Разработчики навыков смогут использовать BatchUniqueChecker - новый бесплатный Google AdWords представил новый
MZ
На сайте с 18.08.2009
Offline
96
MAzZYBiG
#7

Оптимизайка, это слишком круто. У меня нет такой возможности

N
На сайте с 06.05.2007
Offline
419
netwind
#8

Эти два пакета буквально недавно обновлялись. Убедиться можно прочитав файлы /usr/share/doc/wget/changelog.Debian.gz и /usr/share/doc/curl/changelog.Debian.gz

Скорее всего, вы не заметили как установили обновления или у вас вообще полностью автоматическое обновление.

Ну закачайте этот файл на другой незараженный компьютер, посчитайте суммы, сверьте с суммами в дистрибутиве для спокойствия.

Нет, запускать md5sum прямо на сервере в данном случае "западло" и пацаны не поймут.

Кнопка вызова админа ()
Mozilla исключит возможность сторонней В Google Таблицах появились Появился на свет персональный
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#9

Взлом сайта не означает взлома сервера

Не стоит плодить сущности без необходимости
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#10

Andreyka, хотя если сайт работает от имени сервера (встречается довольно часто, хоть и mod_fcgi с mpm_itk уже давно существуют), то взлом сайта=взлому сервера

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий