Я не понимаю, меня взломали или нет?

[Sly_tom_cat]

С правами индивидуально разбираться - занятие муторное.

"Тишина" - еще не признак что не сидит зараза.

Потому и советовал с самого начала - систему под снос (если нет незараженного бекапа).

/tmp     root root drwxrwxrwxt 

[Tpona]

Sly_tom_cat, спасибо за рекомендацию, именно ей я и следую, но прежде чем ставить новую Ubuntu хочу разобраться с основами, чтобы не попасть в подобную ситуацию в будущем.
Сейчас пытаюсь понять возможные пути попадания и дальнейшего распространения этой заразы...

Хочу написать ман для таких как я, how-to-do по базовой установке LAMP на Ubuntu с свн и базовой защите.
Думаю создать отдельный пост, где описывать что делаю, и по советам от форумчан изменять его, если что-то не так.
Основные моменты я уяснил, однако, без понимания как ломают, трудно не сделать ошибки при настройке.

[Sly_tom_cat]

В конце года была серьезная активность по поводу проникновений именно через ssh - там довольно серьезный был проект по постороению ботнет сети.

(Нажмите, чтобы показать/скрыть)

Но само решение было красивым - брутфорсили рутовый доступ на ssh, брали версию ядра, собирали для этого яжра ELF и прописывали трояна в систему.
Троян обзывал себя именем какого-то стандартного сервиса лежал в файле с именем из случайного набора букв, и имел еще вотчера (через crontab) запускающегося который менял имя файла....

Тут на форуме была тема... надо поискать.

Отголоски этого или возможно новые и продолжают ломится под рутовым доступом на ssh - это один из простейших (несмотря на брутфорс) вариантов проникновения в систему сразу под рутом.

В принципе есть и другие залатанные и возможно не залатанные уязвимости....

Тут недавно публиковали глюк в баше который можно было заюзать послав http запрос веб сервису.... Есть (давно залатанная) уязвимость с обработкой изображений и вообще http порт - второй по эффективности проникновения, после ssh.


На мой взгляд такая методичка (how-to-do по базовой установке LAMP на Ubuntu с свн и базовой защите) писана и переписана много раз.
Про ssh уже все сказано

(Нажмите, чтобы показать/скрыть)

1. ssh на нестандартный порт
2. вход руту на ssh - запрещен
3. лучше вообще запретить вход по логин/пароль а пользоваться входом по ключу.

Для администрирования через ssh, в такой конфигурации нужно пользоваться логином включенным в группу admin или sudo (создать такого пользователя нужно заранее если доступ к серверу есть только по ssh, VPS - например)

Действия по смене порта и дапрете рута на ssh нужно делать в первые часы поднятия сервера на белом IP до этого.

Про http сервера можно сказать только одно - там важно просто правильно поставить сервер - в нем не должно ничего от рута крутиться. Инструкции всякие - тоже есть если поискать.

Ну и обновления по безопасности (на все компоненты ОС) - ставить все и оперативно.

Если какие-то еще сервисы висят наружу - то по ним тоже есть стандартные мануалы по безопасной настройке - их просто не надо игнорировать.

В настройках безопасности на внешних портах не может быть слишком много маразма, но нужно во время остановиться, что бы не законопатить сервисы совсем до нереального использования.

[ru_kane]

Да можно и по умолчанию все оставить, но расширить время бана file2ban с 10 минут до 1-3 суток или навсегда. Боты уже через сутки ломиться перестают, уходят на другие серверы-)

Вот у меня весь лог за 3 дня:

Код: [Выделить]

2015-04-05 08:27:23,787 fail2ban.actions: Ban 178.129.34.70
2015-04-07 05:02:43,576 fail2ban.actions: Ban 142.0.72.124
2015-04-07 07:45:23,949 fail2ban.actions: Ban 62.210.252.140
2015-04-07 16:49:29,326 fail2ban.actions: Ban 101.56.17.136
а по началу лог был несколько страниц ban-unban за сутки.

[Sly_tom_cat]

А на нестандартный порт заходят 1 из 10 ботов, и всяко лучше.

[Tpona]

У меня в /usr/lib все ссылки имеют права rwxrwxrwx и принадлежат руту.
Файлы rwsr-xr-x владелец тоже рут.
Кого не затруднит посмотреть какие права на них должны быть?

[quatro]

Кого не затруднит посмотреть какие права на них должны быть?

http://pastebin.ru/eNRN54Oa - Публично отправил mart в 18:41 07-04-2015 с типом text и размером 236.62 Kb
Хранить: 7 дней, просмотров: 0

Строк ..................................... 2977
Слов ..................................... 52971
Символов с пробелами ... 239310

[Dt-13]

У меня в /usr/lib все ссылки имеют права rwxrwxrwx и принадлежат руту.
Файлы rwsr-xr-x владелец тоже рут.
Кого не затруднит посмотреть какие права на них должны быть?

ls -la /usr/

(Нажмите, чтобы показать/скрыть)

...
drwxr-xr-x 155 root root 20480 апр.   6 07:26 lib
drwxr-xr-x   5 root root  4096 апр.   3 09:13 lib32
...

ls -la /usr/lib

(Нажмите, чтобы показать/скрыть)

...
drwxr-xr-x   5 root root         4096 апр.  17  2014 ure
drwxr-xr-x   2 root utempter     4096 апр.  17  2014 utempter
drwxr-xr-x   2 root root         4096 апр.  17  2014 valgrind
drwxr-xr-x   2 root root         4096 апр.   3 09:13 vdpau
drwxr-xr-x   3 root root         4096 апр.   2 21:39 virtualgl
drwxr-xr-x  23 root root         4096 марта 31 01:17 vmware
drwxr-xr-x   3 root root         4096 марта 31 01:15 vmware-installer
drwxr-xr-x   5 root root         4096 марта 31 01:17 vmware-ovftool
drwxr-xr-x   4 root root         4096 марта 31 01:17 vmware-vix
drwxr-xr-x   5 root root         4096 апр.  17  2014 X11
drwxr-xr-x  93 root root        69632 апр.   3 09:07 x86_64-linux-gnu
drwxr-xr-x   3 root root         4096 марта 25 21:23 xorg
...

[Tpona]

Наблюдаю следующую картину сейчас.

lsof -i

Свои подключения и пользовательские на сайт убрал, подозрительные выделил.

(Нажмите, чтобы показать/скрыть)

COMMAND     PID        USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
apache2     568    www-data    5u  IPv6   4657      0t0  TCP *:www (LISTEN)
mysqld     1490       mysql   12u  IPv4   3359      0t0  TCP localhost.localdomain:mysql (LISTEN)
postgres   1535    postgres    3u  IPv4   3371      0t0  TCP localhost.localdomain:postgresql (LISTEN)
postgres   1535    postgres    7u  IPv4   3379      0t0  UDP localhost.localdomain:39899->localhost.localdomain:39899
dhclient3  1546        root    4u  IPv4   3298      0t0  UDP *:bootpc
postgres   1601    postgres    7u  IPv4   3379      0t0  UDP localhost.localdomain:39899->localhost.localdomain:39899
postgres   1602    postgres    7u  IPv4   3379      0t0  UDP localhost.localdomain:39899->localhost.localdomain:39899
postgres   1603    postgres    7u  IPv4   3379      0t0  UDP localhost.localdomain:39899->localhost.localdomain:39899
postgres   1604    postgres    7u  IPv4   3379      0t0  UDP localhost.localdomain:39899->localhost.localdomain:39899
ntpd       1616        ntpd    3u  IPv4  10482      0t0  UDP alpha.myhost.ru:41814->mirror.datacenter.by:ntp
ntpd       1616        ntpd    6u  IPv4   3411      0t0  UDP alpha.myhost.ru:45436->ftpshare1.corbina.net:ntp
ntpd       1616        ntpd    7u  IPv4 116900      0t0  UDP alpha.myhost.ru:37752->news02.nierle.com:ntp
ntpd       1616        ntpd    8u  IPv4  11315      0t0  UDP alpha.myhost.ru:35007->ntp-2.arkena.net:ntp
exim4      2884 Debian-exim    3u  IPv4   6184      0t0  TCP localhost.localdomain:smtp (LISTEN)
inetd      2950        root    4u  IPv4   6283      0t0  TCP *:ftp (LISTEN)
....
proftpd    4030     proftpd    0u  IPv4 153036      0t0  TCP alpha.myhost.ru:ftp->46.248.220.149:56997 (ESTABLISHED)
proftpd    4030     proftpd    1u  IPv4 153036      0t0  TCP alpha.myhost.ru:ftp->46.248.220.149:56997 (ESTABLISHED)
proftpd    4030     proftpd    2u  IPv4 153036      0t0  TCP alpha.myhost.ru:ftp->46.248.220.149:56997 (ESTABLISHED)
sshd       6128        root    3u  IPv4  14147      0t0  TCP *:20048 (LISTEN)
apache2   24349    www-data    5u  IPv6   4657      0t0  TCP *:www (LISTEN)
apache2   24582    www-data   36u  IPv6 154438      0t0  TCP alpha.myhost.ru:www->static.88-198-48-46.clients.your-server.de:34756 (ESTABLISHED)
apache2   27618    www-data    5u  IPv6   4657      0t0  TCP *:www (LISTEN)
apache2   27618    www-data   36u  IPv6 154471      0t0  TCP alpha.myhost.ru:www->173.182.87.109.triolan.net:3289 (ESTABLISHED)

Выделил подозрительных.

Это именно тот кто сидел по рутом раньше, сейчас долбит сайты видимо : static.88-198-48-46.clients.your-server.de

Самый интересный это 46.248.220.149 который с username proftpd.
Вообще эта утилита отображает вошедших в систему?

grep proftpd /var/log/auth.log ничего не показывает. Где он сидит и удалось ли ему войти, как узнать?

[Sly_tom_cat]

Tpona, ты сервер переустановил?

Если нет, то копать и копать пока ты все закладки вычистишь (антивирусы против свежих троянов могут и не возбуждаться, а при рутовом доступе можно наладить даже автоматическую заливку обновлений троянов на комп). И не важно потом потерять рутовый доступ (через ssh) если уже налаженный бекдор стоит в системе.

Я уже несколько раз повторял и еще раз не поленюсь - не трать время на поиски всех хвостов - потрать его на переустановку сервера и его защиту от проникновения.

[Tpona]

у нас оплачен хостинг еще на полтора месяца, а переезжать хочу на РЕГ.РУ, сейчас у нас linode.com )

[Sly_tom_cat]

А причем тут переезд? 

Либо вы эти полтора месяца занимаетесь ловлей черной кошки в черной комнате. Либо вы на тестовой платформе ставите и настраиваете новый сервер и составляете инструкцию, далее по ней с нуля разворачиваете сервер на хостинге.

Собственно развернуть на тестовой платформе сервер с составлением для себя инструкции - оно и при переезде потребуется.

[Tpona]

На тестовой платформе это как?

[Sly_tom_cat]

да где угодно - хоть в виртуалбоксе, хоть на живом железе хоть на дешевом vps.