Мой сервер взломали

[m4tr1x]

У меня имеется сервер (Ubuntu OS), который находится у провайдера в физическом размещении. Так вот недавно провайдер мне сообщает, что с моего айпи адреса происходят постоянные попытки взлома других серверов методом brute force (взлома паролей). Я вижу проблему так: кто-то каким-то образом проник на мой сервер и похоже подкинул скрипт, который и осуществляет взлом других серваков. Варианты, которые попали на ум: скрипт попал через фтп (наверное сначала взломали мой фтп аккаунт) или же через один из моих сайтов (при помощи уязвимостей, например XSS ). Вопрос: каким образом можно вычислить этот скрипт на сервере и удалить его? Последние несколько дней этот скрипт работает бесперебойно, да еще и проблема в том, что трафика там капает десятками гигабайт, провайдер дерёт деньги нереальные за превышение трафика. Караул в общем. Спасайте

[roma333]

У меня имеется сервер (Ubuntu OS), который находится у провайдера в физическом размещении. Так вот недавно провайдер мне сообщает, что с моего айпи адреса происходят постоянные попытки взлома других серверов методом brute force (взлома паролей). Я вижу проблему так: кто-то каким-то образом проник на мой сервер и похоже подкинул скрипт, который и осуществляет взлом других серваков. Варианты, которые попали на ум: скрипт попал через фтп (наверное сначала взломали мой фтп аккаунт) или же через один из моих сайтов (при помощи уязвимостей, например XSS ). Вопрос: каким образом можно вычислить этот скрипт на сервере и удалить его? Последние несколько дней этот скрипт работает бесперебойно, да еще и проблема в том, что трафика там капает десятками гигабайт, провайдер дерёт деньги нереальные за превышение трафика. Караул в общем. Спасайте

top+tcpdump

[fisher74]

Соглашусь с предыдущим оратором, но перед этим предложу всё-таки сначала остановить все сервисы, кроме жизненно важных (ftp, http - первые на очереди).

[Mam(O)n]

Обычная ситуация, распространена в последнее время: ломается тачка с которой по ftp заливается на хостинг и затем вешается на сайт чудоскрипт... Заражены могут быть любые страницы. Так что кроме лечения сервера, нужно подлечить еще и управляющую машину..

[m4tr1x]

Подскажите пожалуйста, как мне перекрыть все порты, кроме жизненно-необходимых "до выяснения обстоятельств" так сказать, чтобы этот скрипт не жрал мне трафик на хостинге?

А или перекрыть процессы? ну процессы выключить это я смогу в графической оболочке Ubuntu, но проблема в том, как я узнаю что это за процесс, под каким именем там этот скрипт запущен?

Важно то, что как только я оплачу хостинг, мне нужно мгновенно нейтрализовать этот скрипт(любым способом), потомучто он сжирает трафик гигабайтами, а за это с меня провайдер дерет нереальные деньги.

[Discoteque]

Я сейчас тебе умный вещь скажу, ты только не обижайся, ладно?
Если НЕРЕАЛЬНЫЕ деньги и ты ничего в этом не понимаешь, то найми себе человека за РЕАЛЬНЫЕ деньги который тебе все быстро настроит и по грамотному.

[graddata]

m4tr1x
нужно логи читать. Находить скрипт и чмодить его на 000. Далее искать способ локализации проблемы.

[gur63]

29 октября у меня было тоже-самое.
1 смотрим логи доступа. может, о чудо сохранились следы.
2 проверяем tmp и /var/tmp как наиболее вероятные, я там нашел.
3 проверяем cron и т.д
Во всяком случае после удаления "ненужных" файлов оттуда у меня все прекратилось.

Да кстати нанять человека это очень полезный совет. только просят о помощи сейчас, а не потом.

[Discoteque]

Полезней чем нанять СЕЙЧАС быть не может.
Что может быть проще? Поднимаешь трубку и звонишь провайдеру.
В общем случае цена фиксирована. В самом хитрожопом случае они прикидывают сколько времени ты будешь решать проблему, считают сколько трафа это будет в деньгах, накидывают чаевые и прайс готов.
Но можно потратить неделю на выяснение и в итоге починить самому, либо не починить самому и приплюсовать к вышесказанному траф за неделю.

[m4tr1x]

Ищу человека,  который помог бы в решении этой проблемы. Сервер стоит в датацентре в Москве. Надо будет туда ехать и на месте лечить его. Интернет, подручные компьютеры там есть, так что все условия есть. Стоимость услуги обговорим.

[graddata]

m4tr1x
могу помочь, даже не выезжая.
Проблема решается путём перебрасывания порта ssh и убивание дополнительных пользователей. У самого такая проблема была.
Ну и порты 22 закрыть, что бы прикалываться над взломщиками.

[m4tr1x]

Датацентр в 3 станциях на электричке от Савеловского вокзала(ехать 10 минут). Проезд оплачу =) SSH-доступ - не знаю, но скорее всего нет, ведь это нифига не безопасно для сервера иметь SSH с доступом в интернет?! Лучше если мы съездили бы туда и уже вживую ковыряли его

[AnrDaemon]

ведь это нифига не безопасно для сервера иметь SSH с доступом в интернет?!

Чё? Нефига небезопасно сидеть на завирусованной машине, а Secure Shell - он потому и Secure...

[graddata]

Датацентр в 3 станциях на электричке от Савеловского вокзала(ехать 10 минут). Проезд оплачу =) SSH-доступ - не знаю, но скорее всего нет, ведь это нифига не безопасно для сервера иметь SSH с доступом в интернет?! Лучше если мы съездили бы туда и уже вживую ковыряли его

Ты хочешь ехать в ДЦ на "рыбку"? Это же "мастерхост" -  в этот ужас я не поеду. Я в этом аду пару месяцев работал админом.
ssh проси, не зачем ехать.

[m4tr1x]

как я попрошу SSH? никто мне его настраивать там за меня не будет. а сам настроить ssh явно не смогу. в этом и проблема (