Autor |
Sõnum |
-IFFI-
Vana Pingviin
Vanus: 48
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
Uurisin servus auth.log ning leidsin sellised kahtlased. IP-d on siis saksa, vene ning see pikim katsetaja on olnud vietnamist.
Siin siis kahtlased read mis logist leitud;
Kas on veel mingeid logisi mida võiks uurida, et olla kindel selles, et keegi pole serveri sisse saanud ja paha teinud. Kuidas teada saada/uurida kas on veebilehte muudetud või mis iganes koodi puututud? (ise ei kujuta ette seda kuidas veebilehte saaks muuta ilma serveri sisenemata)
|
|
|
|
Viimati muutis -IFFI- 04.03.2012, 09:32; muudetud 1 kord
|
|
|
|
akbgf
Vana Pingviin
Liitunud: 07.10.2009
Postitused: 763
Asukoht: Tõravere
Distributsioon: OpenSUSE, Ubuntu
|
|
-IFFI- kirjutas: | Kuidas teada saada/uurida kas on veebilehte muudetud või mis iganes koodi puututud? |
find /... -mtime n
näitab n*24 tundi tagasi muudetud failid kataloogipuus /...
Võtmeid on veel, vt. man find.
|
|
|
|
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
tüüpiline skäner.
Paigalda näiteks fail2ban selle vastu. Või veelgi lihtsam - muuda ära SSH port.
|
|
|
|
_________________ Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 48
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
Tänud akbgf ja spott vihje eest. Seekord siis jäid kurjad plaanid pelgalt üritamiseks.
Nüüd on selge, et saidile on sissemurtud kuna häkkerid on saidi allaäärde jätnud oma alkirja ning saidilt on ka asju kustutatud!
Vaatasin läbi /var/log/auth.log faili ja leidsin sealt 4 ja 5 aprill pommitamise jälgi aga selleks ongi nad jäänud.
Milliseid logisid veel uurida?
|
|
|
|
|
|
|
|
obundra
Vana Pingviin
Vanus: 49
Liitunud: 04.08.2005
Postitused: 1213
Asukoht: 127.0.0.1
Distributsioon: RHEL, Solaris, Debian, Gentoo
|
|
Käsk last ja lastlog ütlevad sulle kes. millal ja kuskohast on sisse loginud.Kui /var/log/wtmp faili roteeritakse, siis vanemaid faile saad ette anda -f võtmega, näiteks last -f /var/log/wtmp.2
|
|
|
|
_________________ IT teenused
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 48
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
last -f /var/log/wtmp.2 fail puudub ültse mul. On ainult wtmp ja wtmp.1 ning nois mõlemis on mu enda logi aint ehk siis ise käidud korrad.
Selge on see, et saidil on käidud kuna saidi allääres ilutseb selline kiri "Hacked By ThE X-HaCkEr (Moroccan XAnonymous) "
Pole seda ise küll seal nii tähelepanelikult varem näinud aga kas äkki võib olla tegemist näiteks saidi theme lahti häkkijate või saidi theme loojate enese allkirjaga??? Kuna logis miskit kahtlast ei leia siis kaldungi arvama seda viimast võimalust!?
|
|
|
|
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
Oled sa kindel, et ära häkiti serveri poolelt?
Vabalt võis sul olla auk ka hoopis sisulehel endal ja saadi sellele ligi.
|
|
|
|
_________________ Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 48
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
Ei ole milleski kindel ma... obundra antud käsuga leitsin vaid omad logid. Seepärast mõtlengi, et mida veel uurida võiks või kuidas saaks teada ja olla kindel, et pole serverit häkitud?
Oma lolli mõistusega ei kujuta ette kuidas on võimalik häkkida lehte ilma serveri WWW katalooma pääsemata???
Kindel on nüüd ka see, et see pole lehe theme häkijate allkiri kuna sama asi localhostis jookseb ning selline kirje puudub.
Ok kui on häkitud sisulehte(kasutan valmis lahendust) siis oleks vaja ju saada oma valmis scriptile niiöelda upgrade varjanti kuna kui uuesti lasta puhas olemas olev kood lehele peale siis see ei paranda ju seda võimaliku auku ja häkkeritele on taas võimalus oma näpuoskust katsetada?!
|
|
|
|
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
abiks oleks see, kui avaldaksid oma serveri aadressi ja selle häkitud lehe aadressi.
Lisaks mis CMS ja versioon kasutusel on.
Failide ajaloost saad ka vaadata, millal täpselt index faili muudeti ja mis kasutaja õigustes täpsemalt. Selle kaudu saab infot, milles probleem. Äkki näiteks vana veebiserveri versioon ja tänu sellele sai pahalane ligi serveri failidele - kuid siis kõigi eelduste kohaselt ta mujale ei pääsenud.
Endal häkiti kunagi ka üks server ära - viga oli vigases CMS-is, mis andis ligipääsu veebiserverile ja sealt muudeti lihtsalt index failid ära. Kõige lihtsam ja levinum häkkerite tegevus - ja tegelikult ega ta väga üldjuhul midagi muud kaasa ei toogi. Lapid augu ära, kustutad uued index failid ära ja teed süsteemile täiendava kontrolli.
Kuid eks on ka selliseid "mõnusaid" häkkereid, kes saavad naudingut kõikide failide kustutamisest jne.
|
|
|
|
_________________ Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
kui ei suudeta täpselt indentifitseerida kuhumaani häkkimine ulatus siis ALATI puhas install ei mingit juttu rohkemat!
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
mina kahtlustan siiski, et käis üle robot, mis sisenes CMS-i kadudu ja kaugemale www kataloomast ei pääsenud.
|
|
|
|
_________________ Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 48
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
Avalikult ei taha reklaamida saiti, ei ole sobilik. Aga tegu siis VPS-iga
Vaatasin FTP-s, et index faili on viimati muudetud 21.03.2012 12:56 ja kui vaatasin ka käsuga last -f /var/log/wtmp.1 siis leidsin sealt sama kuupäeva kuid tund hilisema kellaajaga ainukese logimise sellel kuupäeval.
Logi failis siis ainuke rida sellise kuupäevaga (IP aadress on täiesti võõras) "root pts/2 41.137.112.5 Wed Mar 21 11:52 - 11:57 (00:04)"
auth.log1 failis näen ainult kuni 25 märtsini logi...vanemat enam ei näe!
Ilmselt tuleks vahetada äkki SSH parool?
Kuidas näha failide ajalugu ja milles siis probleem?
Serveris jookseb ubuntu 11.10 64bit.
See häkkeri alkiri on aint index lehel..muudel seda pole....mida mõtled puhta installi all illukas? Kas lehe scripti vai serveri softi? Esimest ei tahaks eriti küll uuesti installida...
|
|
|
|
|
|
|
|
antik2
Vana Pingviin
Liitunud: 09.10.2006
Postitused: 634
Distributsioon: Big Strong D...
|
|
-IFFI- kirjutas: | See häkkeri alkiri on aint index lehel..muudel seda pole....mida mõtled puhta installi all illukas? Kas lehe scripti vai serveri softi? Esimest ei tahaks eriti küll uuesti installida... |
Lase kogu süsteem üle rkhunter-iga: http://www.rootkit.nl/projects/rootkit_hunter.html
|
|
|
|
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 48
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
Selline vastus siis
[i][00:57:54] System checks summary
[00:57:54] =====================
[00:57:54]
[00:57:54] File properties checks...
[00:57:54] Required commands check failed
[00:57:54] Files checked: 136
[00:57:54] Suspect files: 4
[00:57:54]
[00:57:54] Rootkit checks...
[00:57:54] Rootkits checked : 285
[00:57:54] Possible rootkits: 0
[00:57:54]
[00:57:54] Applications checks...
[00:57:54] Applications checked: 7
[00:57:54] Suspect applications: 1
[00:57:54]
[00:57:54] The system checks took: 50 seconds
Mina sealt logist ei oska küll miskit välja uurida. Või mis ma nuid edasi pean tegema? kahtlaseid faile seal on nagu lõpptulemuses kirjas.
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
nagu kirjutatud sai, kui ei ole kindel tee clean install... siis võid rahulikult magada.
Terve serveri uus install mõtlen ikka, see kui sa ei saa aru kusmaani rünne on süvenenud, puudulikud logid on ilmselge märk sellest et see on ainuõige lahendus.
Eriti veel kui sul on logid pooleldi ära kustutatud... või lihtsalt ei logita enam või jumal teab mis seal on....
Praegu ssh pordi muutmine ei anna sulle enam midagi, masin võib olla juba niiöelda soojustatud ja teeb näiteks perioodiliselt välja ühendusi mingi tuttava protsessi alt. Või on avatud mingi kõrge port millest kuulatakse käske.... Või võib olla ka nii nagu spott kirjutas, et lihtsalt cms häkiti maha. Mitte keegi ei suuda sulle öelda kusmaani asi tegelikult ulatus ja seetõttu ongi minuarvates sellistel juhtudel ainuõige lahendus clean install... Kõik sõltub veel lisaks mis seal serveris hoiti- kas lihtsalt mingeid reisipilte või raamatupidamist või veelenam ajutati klientide kodukaid...
See siis minu mõte tee ikka nii, et sul endal süda rahul oleks ja öösiti rahulikult magada saad.
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 48
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
Ilmselt jah tuleb teha clean install serverile kuna tõesti ma nonde logidega oma peaga ei oska miskit teha. Teiste abiga jõuaks kindlasti "kunagi" ka jälile/selgusele mis toimus ja mida on häkitud aga see võib kesta kaua-kaua ning tont teab mida on veel korraldatud seal serveris ja vahepeal võidakse veel kurjemini ära kasutada mu serverit ja neid "katkiseid uksi"
Võtan seda häkkimist kui hoiatust ja vahetan välja serveri softi ning pistan puhta index lehe tagasi lootuses, et enam ei õnnestu pääseda ligi.
Tõenäoliselt on siiski häkitud index lehte ainult kuna siiani tehtud uuringute tulemustel on see ainuke leht millel on häkeri allkiri ja mida on muudetud ning mille muutmisele viitavad ka logid.
Juhul kui peaks asi uuesti juhtuma siis ilmselt tuleb saidi soft välja vahetada.
Aga siiski jään ootama huviga mida selle rkhunter logi teadmisega edasi teha? Lasin asja ka oma masinale peale ja siitki leidus 1 hoiatus
Seniks suured tänud kõigile abilistele ja nõuannete jagamiste eest.
|
|
|
|
|
|
|
|
|