| Autor |
Sõnum |
-IFFI-
Vana Pingviin
Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
Taas on mul imelik müstika toimumas serveris. Distro Debian7-64bit+ISPcongig-3+WHMCS+4veebiklienti wordpresside peal.
Umbes tunnike tagasi näperdasin ühte lehdedest ja nuid minnes lehele oli ees FORBIDDEN...uurisin siis asja siit ja sealt ning avastasin, et klientide /web kasutad olid tühjad. Wordpressi oma kaustadest polnud enam jälgegi, olid aint alles ISPconfig poolt loodud error ja stats kataloomad mille ta loob automaatselt kui luua kliendi konto.
Taastasin siis läbi ISPconfig liidese klientide backupid ja nüüd taas on lehed kenasti ees välja arvatud ühel kliendil osaliselt puudu pildid aga antud hetkel pole see oluline.
Esmalt kahtlustasin kõige halvemat, et keegi kurikäsi on mängus. Uurisin siis /var/log/apache2/access.log faili ning see fail on tervenisti täis allolevat jama....
apache2 access.log
| Kood: | |
127.0.0.1 - - [29/Jul/2013:16:45:01 +0200] "GET / HTTP/1.1" 200 3107 "-" "Mozilla/5.0 (ISPConfig monitor)"
5.135.178.42 - - [29/Jul/2013:16:46:02 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
66.249.72.182 - - [29/Jul/2013:16:46:47 +0200] "GET /wp-content/uploads/2012/05/Roosa-lokkiva-%C3%A4%C3%A4rega-m%C3%BCts-300x295.jpg HTTP/1.1" 404 550 "-" "Googlebot-Image/1.0"
5.135.178.42 - - [29/Jul/2013:16:47:02 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
127.0.0.1 - - [29/Jul/2013:16:50:01 +0200] "GET / HTTP/1.1" 200 3107 "-" "Mozilla/5.0 (ISPConfig monitor)"
5.135.178.42 - - [29/Jul/2013:16:50:02 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:16:51:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:16:52:02 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:16:53:02 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:16:54:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
127.0.0.1 - - [29/Jul/2013:16:55:01 +0200] "GET / HTTP/1.1" 200 3107 "-" "Mozilla/5.0 (ISPConfig monitor)"
5.135.178.42 - - [29/Jul/2013:16:55:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:16:56:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:16:57:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:16:58:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:16:59:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
127.0.0.1 - - [29/Jul/2013:17:00:01 +0200] "GET / HTTP/1.1" 200 3107 "-" "Mozilla/5.0 (ISPConfig monitor)"
5.135.178.42 - - [29/Jul/2013:17:00:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:17:01:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:17:02:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:17:03:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:17:04:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
5.135.178.42 - - [29/Jul/2013:17:05:01 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
127.0.0.1 - - [29/Jul/2013:17:05:02 +0200] "GET / HTTP/1.1" 200 3107 "-" "Mozilla/5.0 (ISPConfig monitor)"
5.135.178.42 - - [29/Jul/2013:17:06:02 +0200] "GET /bilgi_tamamla.php HTTP/1.0" 404 541 "-" "Wget/1.11.4 Red Hat modified"
|
Mis või kes kurat on see bilgi_tamamla.php fail? Milleks seda vaja või mida see teeb?
See IP 5.135.178.42 on mulle serveri teenust pakkuva firma oma ehk siis OVH
Üritasin ka googeldada seda faili nime aga targemaks ma ka ei saanud. Samas on seda lolli failinime täis ka /var/www/error.log
| Kood: | |
[Mon Jul 29 17:05:01 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:06:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:07:01 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:08:01 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:09:01 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:10:01 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:11:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:12:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:13:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:14:01 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:15:01 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:16:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:17:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:18:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:19:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:20:01 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:21:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:22:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:23:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:24:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:25:01 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php
[Mon Jul 29 17:26:02 2013] [error] [client 5.135.178.42] File does not exist: /var/www/bilgi_tamamla.php |
Minu küsimus on; kes kurat see bilgi_tamamla.php fail on, mis ta teeb jne jne.
Ning kui keegi on kodune ISPconfig-3 siis oskab ehk mulle mõistliku seleteuse anda miks kaob klientide /web kasuta sisu?
|
|
|
|
|
|
|
    |
mahfiaz
Pingviini aktivist
Liitunud: 19.10.2007
Postitused: 147
|
|
Keegi häkkis sisse su teenusepakkuja masinasse, sellepärast tuleb liiklus sealt. Kui sa asjad taastasid, kustutasid sa selle faili ära. Kui sa seda poleks teinud, saaksid sa praegu uurida mida selle kaudu teha üritatakse.
Selle faili koopia saad tõenäoliselt oma teenusepakkujalt, kes saab selle suvalisest teisest kontost, mis on suure tõenäosusega samuti häkitud. Või variant b) oota natukene ja see fail tekib sinna tagasi samamoodi, nagu esimesel korral.
|
|
|
|
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8853
Distributsioon: Ubuntu
|
|
| nu aga vaata üle, mis seal failis on bilgi_tamamla.php ja mis õigused sellel on.
|
|
|
|
_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8853
Distributsioon: Ubuntu
|
|
| mahfiaz kirjutas: | | Keegi häkkis sisse su teenusepakkuja masinasse, sellepärast tuleb liiklus sealt. Kui sa asjad taastasid, kustutasid sa selle faili ära. Kui sa seda poleks teinud, saaksid sa praegu uurida mida selle kaudu teha üritatakse.
Selle faili koopia saad tõenäoliselt oma teenusepakkujalt, kes saab selle suvalisest teisest kontost, mis on suure tõenäosusega samuti häkitud. Või variant b) oota natukene ja see fail tekib sinna tagasi samamoodi, nagu esimesel korral. |
tal pidid ju varukoopiad olemas olema - sealt saabki vaadata, millega tegu.
|
|
|
|
_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
Eriti ei taha uskuda, et häkiti teenusepakkuja masina. Viskasin IP sinna http://whois.domaintools.com/5.135.178.42 ning seal näitab minu teenusepakkuja nime...ei oska midagi arvata täpsemalt ...
Asjad kustusid ära ainult täna(varem pole seda juhtunud)...seda imeliku failinime olen logides täheldanud ka varem kuid ei pööranud asjale tähelepanu sest kõik oli OK.
Täheldasin seda ka siis kui eelmine distro läks nädalajagu tagasi re-installi. Nüüdsest uus distro ja kõik uuesti paigaldatud aga logides ikka jookseb see nimi. Sellepärast mõtlesin kas see miski vajalik jubin või mida see tähendab ültse. Okei vana masin oli igati läbi surkidut ja tont teab mis seal toimus aga uus puhas install....
Probleem ongi, et sellenimelist faili ei ole olemas masinas kusagil!!!
|
|
|
|
|
|
|
|
mahfiaz
Pingviini aktivist
Liitunud: 19.10.2007
Postitused: 147
|
|
| Variant b on muidugi, et see fail oli seal kunagi serveri monitooringu ja statistika jaoks. Aga sel juhul on imelik, et teenusepakkuja pole selle peale midagi ette võtnud, tal peaks sinu serveri juures siis ju punast näitama.
|
|
|
|
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
Vot tõesti ei oska midagi arvata...hetkel on selge see, et seda faili minu serveris pole ning nagu aru saan siis pole see otseselt mulle midagi olulist ja ei kujuta ka midagi paha "veel"
Eks tuleb lihtsalt siis oodata mida toob tulevik... 
Imelik ainult on see, et eile kadusid 4 kasutaja /web kausta sisu... eks vaatab kas elab tänase päeva üle ilma kadudeta.
|
|
|
|
|
|
|
|
imre
Vana Pingviin
Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
|
|
cat /var/log/auth.log | grep rm
Vaata kes mida kustutanud on.
|
|
|
|
_________________
Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
Sealt ei saa küll miskit aru
| Kood: | |
# cat /var/log/auth.log | grep rm
Jul 28 09:26:54 domen sshd[16155]: Invalid user informix from 223.4.147.8
Jul 28 09:26:54 domen sshd[16155]: input_userauth_request: invalid user informix [preauth]
Jul 28 09:26:55 domen sshd[16155]: Failed password for invalid user informix from 223.4.147.8 port 50004 ssh2
Jul 30 17:47:15 domen usermod[6947]: change user 'munin' password
Jul 30 18:01:49 domen sshd[12739]: Received signal 15; terminating. |
* domen = ise muutsin selle selliseks
223.4.147.8 see miski imelik china IP aga nagu aru saan pole see peale üritamiste kaugemale jõudnud?
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
| -IFFI- kirjutas: | Sealt ei saa küll miskit aru
| Kood: | |
Jul 30 17:47:15 domen usermod[6947]: change user 'munin' password
|
|
See nüüd küll hea ei tundu. Oled selle autoriks ise (sel juhul miks küll?)? Või tegi keegi munin kasutajast endale tagaukse?
|
|
|
|
_________________
  
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
|
|
sander85
Vana Pingviin
Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
Antud õpetus tundub rääkivat pigem sellest, kuidas munini graafikutele veebi kaudu ligi saada. Aga sinu logist paistab, et keegi on süsteemse munini kasutaja parooli muutnud. Süsteemsetel kasutajatel ei tohiks üldse parooli olla ja need kasutajad peaks lukus olema, et välistada rumal ründeoht.
|
|
|
|
_________________
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
Ahnii pidi oopis... aga mis oleks lahendus sellele, kas ültse eemadada või ....  ?
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
 keeruline aga huvitav....väljund selline
| Kood: | |
# for u in $(cat /etc/passwd|cut -d: -f1); do passwd -S $u; done
root P 07/25/2013 0 99999 7 -1
daemon L 10/10/2012 0 99999 7 -1
bin L 10/10/2012 0 99999 7 -1
sys L 10/10/2012 0 99999 7 -1
sync L 10/10/2012 0 99999 7 -1
games L 10/10/2012 0 99999 7 -1
man L 10/10/2012 0 99999 7 -1
lp L 10/10/2012 0 99999 7 -1
mail L 10/10/2012 0 99999 7 -1
news L 10/10/2012 0 99999 7 -1
uucp L 10/10/2012 0 99999 7 -1
proxy L 10/10/2012 0 99999 7 -1
www-data L 10/10/2012 0 99999 7 -1
backup L 10/10/2012 0 99999 7 -1
list L 10/10/2012 0 99999 7 -1
irc L 10/10/2012 0 99999 7 -1
gnats L 10/10/2012 0 99999 7 -1
nobody L 10/10/2012 0 99999 7 -1
libuuid L 10/10/2012 0 99999 7 -1
bind L 10/10/2012 0 99999 7 -1
sshd L 10/10/2012 0 99999 7 -1
tegutseja P 07/25/2013 0 99999 7 -1
ntp L 07/25/2013 0 99999 7 -1
mysql L 07/25/2013 0 99999 7 -1
postfix L 07/25/2013 0 99999 7 -1
clamav L 07/25/2013 0 99999 7 -1
amavis L 07/25/2013 0 99999 7 -1
debian-spamd L 07/25/2013 0 99999 7 -1
messagebus L 07/25/2013 0 99999 7 -1
vmail L 07/25/2013 0 99999 7 -1
getmail L 07/25/2013 0 99999 7 -1
ispapps L 07/25/2013 0 99999 7 -1
ispconfig L 07/25/2013 0 99999 7 -1
web1 L 07/25/2013 0 99999 7 -1
web2 L 07/25/2013 0 99999 7 -1
web3 L 07/25/2013 0 99999 7 -1
web4 L 07/25/2013 0 99999 7 -1
web5 L 07/28/2013 0 99999 7 -1
web6 L 07/28/2013 0 99999 7 -1
web7 L 07/29/2013 0 99999 7 -1
munin L 07/30/2013 0 99999 7 -1 |
Küsimusi kui palju jälle.
Mida tähendab kasutajanime järgi olev L ...siis on kuupäev ja taas ei saa aru mida tähendavad 0 99999 7 -1
Kui vaatan nimekirjas oma "tegutseja" kasutajanime ja tean, et sellel on pikk-keeruline parool kasutusel siis eeldan, et kõikidel on kasutusel paroolid. Kuna kõigil samad ühikud järgi.
|
|
|
|
|
|
|
|
mahfiaz
Pingviini aktivist
Liitunud: 19.10.2007
Postitused: 147
|
|
Sander85, passwd -S -a peaks sama väljundi andma.
man passwd selgitab, mida -S võtme puhul näidatakse, ma ei suudaks seda paremini teha:
| Kood: | | -S, --status
Display account status information. The status information consists
of 7 fields. The first field is the user's login name. The second
field indicates if the user account has a locked password (L), has
no password (NP), or has a usable password (P). The third field
gives the date of the last password change. The next four fields
are the minimum age, maximum age, warning period, and inactivity
period for the password. These ages are expressed in days.
|
Näeme, et ainult kasutajatel root ja tegutseja on paroolid (P), teised on lukus (L).
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
...järeldus siis on asjast, et kõik on OK kuna teised kasutajad on lukus ning neid ära kasutada pahadel eesmärkidel pole võimlik?
Või tuleb ka need laduda passide alla....eriti ise ei usu aga eks targemad valgustavad mind 
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
|
|
-IFFI-
Vana Pingviin
Vanus: 47
Liitunud: 25.06.2005
Postitused: 1411
Asukoht: Lappeenranta-Turku
Distributsioon: Linux MX
|
|
Tääänks taas tiba targem ning julgem tunne.
SSH-s on oma kasutajal pikk pass mis koosneb erinevatest tähe-numbri märkidest ning erisümbolitest
See leht https://howsecureismypassword.net/ väidab minu parooli murdmise ajaks 6 million years  loomulikutl palju selles tõde on aga nohh
Root logimise luban läbi webmini siis kui vaja kasutada SFTP-d ning muuta faile...
|
|
|
|
|
|
|
|
|
|
