Furcsa kapcsolat

Linux-haladó

Furcsa kapcsolat

  • 604 megtekintés

( Pingvin | 2005. 06. 25., szo – 12:31 )

Sziasztok! :)

Csak úgy találomra lefuttattam ma a szerveren egy netstatot, és a következőt láttam a listában:

[code:1:0b95d1529a]tcp 0 0 sansz.org:52326 vuk.sh.unideb.hu:http TIME_WAIT[/code:1:0b95d1529a]

Először fel sem tűnt, mert ez egy webszerver, sokan csatlakoznak rá. De ez a kapcsolat a szerverről irányul a vuk.sh.unideb.hu felé. A szerverről én soha nem szoktam nézni a vuk.sh.unideb.hu-t, tehát nem értem, hogy hogyan állhatott fenn az a bizonyos kapcsolat. Ebből nekem az következik - remélem, hogy rosszul - hogy 90%-ig biztos, hogy felnyomták a gépet.

Eddig így próbáltam erről megbizonyosodni:
- SNORT napló, riasztások ellenőrzése
- chkrootkit
- rkhunter --update && rkhunter --checkall --skip-keypress
- otthoni gépről: nmap -v -v -sS -sV -O -A -P0 -p1-65535 sansz.org
- iptraf

ezekkel semmi eredmény - nem találnak semmit, illetve nem jeleznek semmi különös változást/dolgot. Aztán megpróbáltam ezt:

[code:1:0b95d1529a]ls -d /proc/* | egrep [0-9] | wc -l; ps ax | wc -l[/code:1:0b95d1529a]

Ha ezt egymásután többször lefuttatom, akkor ilyen eredmények jönnek ki:

[code:1:0b95d1529a]
124
123
--------
123
123
--------
124
123
--------
124
123
--------
124
123
--------
123
123
-------
stb....
[/code:1:0b95d1529a]

Az rendben, hogy a szerveren gyakran születnek és halnak Apache szálak így a számok is gyakran változhatnak, de mivel az esetek többségében különböző számok jönnek ki, idegesít a dolog.

Szerintetek a fenti módszereken kívül hogyan tudnék megbizonyosodni arról, hogy feltörték-e a szervert, vagy sem (- mert nekem nagyon úgy tűnik)? :(

( mrbond | 2005. 06. 25., szo – 13:03 )

hát ebből nem sokminden derül ki.

én szvsz erre indulnék tovább:
a netstat megmondja, hogy melyik pid csinálja a kapcsolatot, az ls meg az lsof pedig azt, hogy melyik program illetve megnyitott fájl van vele összefüggésben..

ezenfelül a logokat dúrd át rendesen.

a chkrootkitet és az rkhuntert is át lehet verni, ezért én egy külön szűz gépre telepíteném őket. mondjuk lehet az egy live disztro is.

sok szerencsét

( Panther v | 2005. 06. 25., szo – 13:37 )

[quote:80a7aefe35="mrbond"]hát ebből nem sokminden derül ki.

én szvsz erre indulnék tovább:
a netstat megmondja, hogy melyik pid csinálja a kapcsolatot, az ls meg az lsof pedig azt, hogy melyik program illetve megnyitott fájl van vele összefüggésben..

ezenfelül a logokat dúrd át rendesen.

a chkrootkitet és az rkhuntert is át lehet verni, ezért én egy külön szűz

Akárcsak az lsof, netstat, stb parancsokat. Különösen ha le lettek cserélve. Ami persze nem jelenti azt, hogy megváltozott az idejük..

Mondjuk másik gépre noexec-cel csatolva, vagy esetleg cd-ről indítva esetleg megtalálható vmi nyom...

( Pingvin | 2005. 06. 25., szo – 15:20 )

Köszi az ötleteket! Elmondom, eddig mit műveltem:

Azokon felül, amiket leírtam, az itthoni gépemről indítottam az rkhuntert a szerveren - nem talált semmit. Utána készítettem egy MD5 összeget a /bin könyvtárban lévő fájlokról, az ls, ps, stb. parancsokról és összevetettem őket a disztró (Mandrake 9.2) telepítőjén, valamint - az időközben frissített csomagok esetében - a mandrake-update helyen található RPM-ekben lévő "eredeti" fájlok MD5 összegeivel - látszólag ugyanazok. Ezt a procedúrát megismételtem úgy, hogy a szerver megfelelő fájlrendszerét távolról felcsatoltam az itthoni gépemre és úgy készítettem el az MD5 összegeket - az eredmény ugyanaz volt, látszólag nincs módosított fájl. Ezt követően nekiestem az /etc könyvtár teljes tartalmának - ugyanúgy MD5-özés - és összevetettem az itthoni gépemen tárolt mentéssel. Két helyen volt eltérés: a proftpd.conf és a passwd fájloknál. A proftpd.conf-ban az eltérés egy két hónappal ezelőtti módosítás volt, a passwd-ben pedig egy múlt héten általam felvett új felhasználó (aki nem tud SSH-val vagy konzolról belépni). Ezután ugyanezt végigcsináltam az /usr könyvtárra - szintén egy nagy semmi, minden "ok". Ekkor kínomban azt találtam ki, hogy fogom, és cat /dev/hdX >image.img fájlba kitettem a fájlrendszer tartalmát, itthon egy üres vinyón összeraktam és úgy MD5-öltem le... persze, hogy semmi..

Ezután az itthoni gépről futtatott "ps" parancs és a szervergépen lévő "ps" kimenetét hasonlítottam össze - az Apache child processzeitől (amik gyakran változnak) eltekintve teljesen fedik egymást....

Keresek a google-n, de nem sok használható dolgot találtam eddig. :(

( Panther v | 2005. 06. 25., szo – 15:30 )

Az apache egy fura jószág, el lehet konfigolni... Nekem sokszor jött olyan kérés, hogy CONNECT ...:6667 ..., ill más, "normál" GET, a közös bennük az volt, hogy proxynak nézték a gépemet. Nem sok sikerrel, ugyanis ezt nem engedélyzetem. Szerintem ez nem aktuális nálad.

Továbbá: pl a php engedélyezett, így meglehet, hogy pont az akar kapcsolódni a másik géphez. A netstat -p opcoójával többett mondott volna a kérdéses sor...

( Pingvin | 2005. 06. 25., szo – 18:44 )

Köszi az ötletet! :)

Az Apache-ból kiiktattam a mod_proxy modult, és írtam egy rövidke kis scriptet, ami pár napig figyelni és logolni fogja a hasonló jelenségeket... ha a dolog megszűnik, nyertünk, ha nem... meglátom.

( rpsoft v | 2005. 06. 25., szo – 21:57 )

Azért ha most nem is nyomták fel azt a gépet, jó lesz vigyázni. A Mandrake 9.2-re már jó ideje nem jönnek ki biztonsági frissítések. Érdemes lenne upgrade-elni. Én eddig egyszer próbáltam, és ment minden rendben. (Ha desktop is van a gépen, lehet, hogy néhány kde csomagot kézzel le kell majd szedned, és az újat felrakni).
Vagy forrásból frissítgeted?

Üdv,
L. Á.

( Pingvin | 2005. 06. 25., szo – 22:17 )

Teljesen igazad van. Úgyis szereztem mostanság a gépbe egy új procit (oldalgenerálás suxx...) úgyhogy itt az ideje rászánni egy éjszakát. Talán jövőhét végén kb. :)

Egyébként, amikor disztrót frissítek egy gépen, általában nem vacakolok upgrade-del, hanem elmentem/lejegyzetelem a beállításokat, user fájlokat, stb. és "tiszta" telepítést csinálok. Sokkal jobb tapasztalataim vannak ezzel a módszerrel. Pontosabban, még nem volt olyan Mandrake disztró a kezem alatt, ami kielégítő minőségben cserélte volna le az előtte járót (lassulások, kisebb-nagyobb hibák indulásnál, leállásnál, stb stb). Lehet én vagyok hozzá láma, de egy eset kivételével csak gondom volt a disztró verzió frissítgetéssel. :)