Go Back   Форум об интернет-маркетинге > >
Reply
 
Thread Tools
Old 25-10-2010, 21:32   #1
[root@local ~]#
 
Join Date: 02 Dec 2009
Location: world
Posts: 3,122
Reputation: 121254
Send a message via ICQ to madoff Send a message via Skype™ to madoff

Default aloha чё за звер? нужны ваши мысли.

Не знаю что думать =), что за зверь такой и как он пробрался, данные привожу.

P.S Да кстати это VPS

Code:
 nginx -v
nginx version: nginx/0.8.33 
httpd -v
Server version: Apache/2.2.3
Server built:   Nov 12 2009 18:43:41

Code:
ps aux 

apache   24091  0.9  0.4  88992  6704 pts/0    S+   22:10   0:04 python svwar.py -v -e100-9999 120.138.16.75
apache   24093  1.0  0.4  88992  6700 pts/0    S+   22:10   0:04 python svwar.py -v -d users.txt 120.138.16.75
apache   24659  0.0  0.0  19460  1148 ?        Ss   17:23   0:07 SCREEN -A -m -d -S sip1 ./svmap.py -s sesiunea123 --randomize 120.0.0.0/8
apache   24660  4.1  0.7  97176 11068 pts/0    Rs+  17:23  12:13 python ./svmap.py -s sesiunea123 --randomize 120.0.0.0/8
apache   25624  2.6  0.4  91092  6720 pts/0    S+   22:16   0:02 python svcrack.py -v -d parole.txt 120.138.16.75 -u 8500
apache   25657  2.5  0.4  91092  6712 pts/0    S+   22:16   0:02 python svcrack.py -v -d parole.txt 120.138.16.75 -u 8501
Code:
python  24091 apache  /var/lib/nginx/tmp/proxy/7/00/aloha
Code:
[root@vps575 aloha]# ls -la /var/lib/nginx/tmp/proxy/7/00/aloha
total 3696
drwxr-xr-x 4 apache apache    4096 Oct 25 17:36 .
drwxrwxrwx 3 nginx  root      4096 Oct 23 08:52 ..
drwx------ 3 apache apache    4096 Oct 25 17:23 .sipvicious
drwxr-xr-x 6 apache apache    4096 Aug 10  2008 .svn
-rwxr-xr-x 1 apache apache    4834 Aug 10  2008 Changelog
-rw-r--r-- 1 apache apache 1050898 Jul  2 21:01 GeoIP.dat
-rwxr-xr-x 1 apache apache    1361 Aug 10  2008 README
-rwxr-xr-x 1 apache apache     308 Aug 10  2008 THANKS
-rwxr-xr-x 1 apache apache      80 Aug 10  2008 TODO
-rw-rw-rw- 1 apache apache      12 Oct 25 17:21 clase.txt
-rwxr-xr-x 1 apache apache     553 Jul 31 02:19 doit.sh
-rwxr-xr-x 1 apache apache      46 Jul 31 03:03 end.sh
-rwxr-xr-x 1 apache apache   12175 Aug 10  2008 fphelper.py
-rwxr-xr-x 1 apache apache   12452 Aug 21  2009 fphelper.pyc
-rwxr-xr-x 1 apache apache     117 Jul 31 01:44 geoip.pl
-rwxr-xr-x 1 apache apache   12288 Aug 21  2008 groupdb
-rwxr-xr-x 1 apache apache   35886 Aug 10  2008 helper.py
-rwxr-xr-x 1 apache apache   35300 Aug 21  2009 helper.pyc
-rwxr-xr-x 1 apache apache     660 Jul 31 04:23 ip.sh
-rwxr-xr-x 1 apache apache     337 Jul 31 04:23 ip.sh~
-rwxr-xr-x 1 apache apache       2 Aug 21  2008 log
-rwxr-xr-x 1 apache apache     424 Jul 31 04:23 mail_test.sh
-rwxr-xr-x 1 apache apache     420 Jul 31 04:23 mail_test.sh~
-rw-r--r-- 1 apache apache      21 Sep  1 09:16 mail_to.txt
-rw-r--r-- 1 apache apache  819483 Oct  4 00:53 parole.txt
-rwxr-xr-x 1 apache apache    4298 Aug 10  2008 pptable.py
-rwxr-xr-x 1 apache apache    4960 Aug 21  2009 pptable.pyc
-rwxr-xr-x 1 apache apache   14052 Jul 31 00:52 pygeoip.py
-rw-r--r-- 1 apache apache   14117 Jul 31 00:52 pygeoip.pyc
-rwxr-xr-x 1 apache apache    4229 Aug 10  2008 regen.py
-rwxr-xr-x 1 apache apache    4068 Aug 21  2009 regen.pyc
-rw-rw-rw- 1 apache apache     607 Oct 25 21:43 results.txt
-rwxr-xr-x 1 apache apache  249980 Dec  8  2009 screen
-rwxr-xr-x 1 apache apache    1837 Jun 14 22:10 sipuli.txt
-rwxr-xr-x 1 apache apache  110592 Oct 25 17:24 staticfull
-rwxr-xr-x 1 apache apache  282624 Oct 25 17:24 staticheaders
-rwxr-xr-x 1 apache apache     749 Aug 10  2008 sv.xsl
-rwxr-xr-x 1 apache apache   21834 Jul 31 01:28 svcrack.py
-rwxr-xr-x 1 apache apache    9159 Aug 10  2008 svlearnfp.py
-rwxr-xr-x 1 apache apache   22045 Aug 21  2008 svmap.py
-rwxr-xr-x 1 apache apache    8285 Aug 10  2008 svreport.py
-rwxr-xr-x 1 apache apache   24458 Aug 20  2008 svwar.py
-rwxr-xr-x 1 apache apache     216 Jul 31 00:52 t.py
-rwxr-xr-x 1 apache apache   45056 Aug 21  2008 totag
-rw-r--r-- 1 apache apache  819483 Oct  4 00:53 users.txt
__________________
Администратор Linux,Freebsd.
построения крупных проектов.
ICQ#: 241606.
madoff is offline   Reply With Quote

Реклама
Old 26-10-2010, 02:36   #2
r0mik
Кандидат наук
 
Join Date: 14 Feb 2010
Posts: 309
Reputation: 13814
Send a message via ICQ to r0mik Send Message via Jabber to r0mik

Default Ответ: aloha чё за звер? нужны ваши мысли.

sipvicious - крякалка sip-паролей (http://code.google.com/p/sipvicious/)
а как появилась... ну это уже фик знает, может залили руками, может через дыру.. ну и запустили в скринах, значит руками скорей всего))
так как юзер apache - ищите шелл (в cms, форумах и т.п.), бейте админов оных...
r0mik is offline   Reply With Quote
Old 26-10-2010, 03:32   #3
madoff
[root@local ~]#
 
Join Date: 02 Dec 2009
Location: world
Posts: 3,122
Reputation: 121254
Send a message via ICQ to madoff Send a message via Skype™ to madoff

ТопикСтартер Re: Ответ: aloha чё за звер? нужны ваши мысли.

В раздумьях =)

Last edited by madoff; 26-10-2010 at 03:44..
madoff is offline   Reply With Quote
Old 18-11-2010, 22:43   #4
dsushi
Абитуриент
 
Join Date: 18 Nov 2010
Posts: 1
Reputation: 10

Default Re: Ответ: aloha чё за звер? нужны ваши мысли.

Quote:
Originally Posted by madoff View Post
В раздумьях =)
Привет, мой друг. Мой компьютер сервера также проникли с этим стилем атаки. Я был не в состоянии определить, как они достигли, чтобы получить доступ.

Они спрятали код в /dev/shm/.../.old на моем компьютере.

Был пароль перехватили? Они знали, мой пароль не догадываясь. Каким-то образом они уже знали. Возможно, некоторые программы существует я не должен верить.

Пожалуйста, если у вас есть подсказки, поделитесь с нами.

Я прошу прощения за использование переводчика. Я изучал русский язык только за один год.
dsushi is offline   Reply With Quote
Old 18-11-2010, 23:21   #5
madoff
[root@local ~]#
 
Join Date: 02 Dec 2009
Location: world
Posts: 3,122
Reputation: 121254
Send a message via ICQ to madoff Send a message via Skype™ to madoff

ТопикСтартер Re: aloha чё за звер? нужны ваши мысли.

Нужно смотреть, я не помню как решили данную проблему.
madoff is offline   Reply With Quote
Old 19-11-2010, 13:40   #6
pupseg
Академик
 
pupseg's Avatar
 
Join Date: 14 May 2010
Posts: 3,677
Reputation: 515397
Send a message via ICQ to pupseg Send a message via Skype™ to pupseg

Default Ответ: aloha чё за звер? нужны ваши мысли.

было у меня такое на четырех серверах.
как решать - знаю, и как проникло - тоже знаю.
и называется он часто - не алоха, а алоха - только вариант.
так же вам повезло, что еще пока только с правами apache запустились.
проникнут еще раз, даже если удалите.
и даже вот такой емайл мне писали:

Quote:
-------- Исходное сообщение --------
Тема: Some of your IP numbers are attempting SSH Bruteforce/Scanning
Дата: Wed, 10 Nov 2010 19:12:40 -0500
От: soc@uga.edu
Кому: , ********
Копия: , soc@uga.edu

Hello,
An IP for which you are listed as a WHOIS contact was recently seen
attempting to brute-force or scan our SSH servers. This behavior is
unwanted, and we ask that you take whatever steps necessary to stop
these hostile actions. We have included a summary of the SSH connections
seen below.
Dates are formatted as MM-DD-YYYY. Times are in EST/EDT and indicate
initial contact time, the column Dst's is the number of unique hosts on
our network the IP tried to contact, and "Sessions" are the number of
network sessions created.

Date Time Source IP Packets
Bytes Sessions Dst's Status CC Network Name
11-10-2010 19:08:21.826647 <айпишнег-моего-сервера> 13951
1012370 6142 6141 blocked RU **********

Thanks for your help in this matter.
UGA Office of Information Security
pupseg is offline   Reply With Quote
Old 19-11-2010, 14:28   #7
myhand
Академик
 
Join Date: 16 Sep 2009
Posts: 4,853
Reputation: 138734

Default Ответ: aloha чё за звер? нужны ваши мысли.

Quote:
Originally Posted by pupseg View Post
было у меня такое на четырех серверах.
как решать - знаю, и как проникло - тоже знаю.
Очень интересно, как? Особенно интересно потому как...
Quote:
Originally Posted by pupseg View Post
проникнут еще раз, даже если удалите.
Ну а тут сами виноваты:
Quote:
Originally Posted by pupseg View Post
и даже вот такой емайл мне писали:
Вам реально нужно всякую шваль пускать наружу с сервера - или Вы просто не умеете настроить файервол?
__________________
Абонементное сопровождение серверов (Debian)
Отправить личное сообщение,
написать письмо.
myhand is offline   Reply With Quote
Old 19-11-2010, 16:19   #8
pupseg
Академик
 
pupseg's Avatar
 
Join Date: 14 May 2010
Posts: 3,677
Reputation: 515397
Send a message via ICQ to pupseg Send a message via Skype™ to pupseg

Default Ответ: aloha чё за звер? нужны ваши мысли.

Quote:
Originally Posted by myhand View Post
Очень интересно, как? Особенно интересно потому как...


Ну а тут сами виноваты:

Вам реально нужно всякую шваль пускать наружу с сервера - или Вы просто не умеете настроить файервол?
категорически просили не ставить пакетных фильтров.
стучите в аську или личку... поделюсь своими предположениями... по крайней мере - мои объяснения того,как оно залетело правдоподобны ... в чем то..
я бы пострадавшим, и возможно пострадавшим
рекомендовал бы еще посмотреть
Quote:
[root@siters /]# lsattr /usr/sbin/sshd
------------- /usr/sbin/sshd
[root@siters /]# lsattr /usr/bin/ssh
------------- /usr/bin/ssh
[root@siters /]# lsattr /usr/bin/scp
------------- /usr/bin/scp
[root@siters /]#
выше, нормальный вывод, такой, как делает ОС.
pupseg is offline   Reply With Quote
Old 19-11-2010, 17:10   #9
Andreyka
Настройщик серверов
 
Andreyka's Avatar
 
Join Date: 19 Feb 2005
Location: Odessa
Posts: 12,723
Reputation: 391399
Send a message via ICQ to Andreyka Send a message via AIM to Andreyka Send a message via MSN to Andreyka Send a message via Yahoo to Andreyka Send a message via Skype™ to Andreyka Send Message via Jabber to Andreyka
Социальные сети Профиль на Хабрахабре

Default Re: aloha чё за звер? нужны ваши мысли.

Ибо nginx и apache должны от разных юзверей работать
Но не все это понимают
__________________
Взлом шифрованной файловой системы LUKS - реальность!
Andreyka is offline   Reply With Quote
Old 19-11-2010, 18:22   #10
myhand
Академик
 
Join Date: 16 Sep 2009
Posts: 4,853
Reputation: 138734

Default Ответ: Re: aloha чё за звер? нужны ваши мысли.

Quote:
Originally Posted by Andreyka View Post
Ибо nginx и apache должны от разных юзверей работать
Но не все это понимают
В принципе, да - но зверушка просто забралась бы в другое место, доступное на запись скриптам (от апача).
Quote:
Originally Posted by pupseg View Post
выше, нормальный вывод, такой, как делает ОС.
ОС делает черточек побольше. Доктор, это нормально?

А если серьезно - что конкретно оно меняет и почему Вы считаете что виновата зверушка, а не мегаадмин-параноик?
myhand is offline   Reply With Quote
Reply



Thread Tools

Forum Jump


Register FAQ Calendar Поддержка Mark Forums Read