Szopa-szopa :-(

Linux-security

Sziasztok!

Egy kis segítségre lenne szükségem a tapasztaltabb rendszergazdáktól.
Megtörték a rendszerünket és nagyon úgy néz ki, h nem tudom hogyan. :-|
Nézegettem a logokat ezerrel (már két napja ezt teszem), de nem jutottam túl sok hasznos dologra. Illetve egy részlet:

[Tue Oct 24 13:48:45 2006] [debug] mod_proxy_http.c(1662): proxy: HTTP: serving URL http://lifehacker.com/software/downloads/geek-to-live-mastering-wget-16…...
[Tue Oct 24 13:48:45 2006] [debug] proxy_util.c(1858): proxy: connecting http://lifehacker.com/software/downloads/geek-to-live-mastering-wget-16…... to lifehacker.com:80
[Tue Oct 24 13:48:45 2006] [debug] proxy_util.c(1951): proxy: connected /software/downloads/geek-to-live-mastering-wget-16120... to lifehacker.com:80

Ez az Apache2 egyik *_acces.log-jából van, ami úgy két nap alatt ~450Mb-ra hízott. Érdekesebb azonban az error.log, ami már 4,5GB-nál jár.

Tűzfal van fent, elvileg ssh, ftp, http, pop, smtp van nyitva csak. (web és mailszerver a gép)

Nem én konfigoltam, a héten kellett volna átvennem üzemeltetésre. Ez még várni fog, valszeg.
Debian, Apache2, php5 a lényeges dolgok. A mailt (qmail) egy 1.4.3-as SquirrelMAil webmail is használja.

Ötletek, h mit tegyek, ha a teljes újratelepítést el akarom kerülni? (a webszervert egyelőre leállítottuk)

Előre is köszi a segítséget!

Attila

  • 2589 megtekintés

( bounty v | 2006. 10. 25., sze – 16:23 )

szerintem hacsak nincs a betörés előtti állapotról biztos helyen tárolt IDS (pl. tripwire) adatbázis, akkor sajna csak a reinstall lehet teljesen biztos megoldás

Szerintem roszz helyen keresed a megoldást. Ez a logrészlet amit bemásoltál, csak azt mutatja, hogy valaki a proxy keresztül nézte meg a következő weboldalt: http://lifehacker.com/software/downloads/geek-to-live-mastering-wget-16…

Az Apache logjait kellene átnézned, valamint futtasd le a chkrootkit-et, és az rkhuntert.

( gorgo75 v | 2006. 10. 26., cs – 11:27 )

linux verzió?

ssh mindenkinek nyitva?
jelszó mennyire bonyolult?

( Hunger | 2006. 10. 26., cs – 12:01 )

Miből tudod, hogy megtörték a rendszert? Mi lett gyanús? Stb.

Hello!

Az lett gyanús, hogy hirtelen belassult a webszerver, több száz páldányban futott a httpd. Annyira nem forgalmas az oldalunk, főleg, hogy még csak ip címe van, a domain még nincs ráirányítva.
Konzolig nem jutottak, igazából, most úgy tűnik, hogy a proxyn keresztül szórják tele a világot a szemetükkel. Vagy mi.
A log is erre utal. Most leírásokat böngészek.

"Egyre több informatikusnak van nemi élete. Hígul a szakma..."

Nekem úgy tűnik, ez csak elb*szott mod_proxy konfiguráció, amire hamar rákattantak, és open proxy vagy a fél világnak.
Amint felfedezik, elég hamar elterjed az infó, és onnantól aki anoním módon akar netezni, az felfűzi a szervereteket a listára a többi közé... :)

Kell egyáltalán az a rohadt mod_proxy? Ha nem használod, kapcsold ki a fenébe.

Igen. Ide jutottunk mi is. :-( Jól látod a dolgot. Open proxyként szórtuk a szemetet mindenfelé két napig.
A proxy azért volt, mert van a háttérben egy belső gép, amin olyan szolgáltatás fut, amit a netről el kell majd érnie ügyfeleknek, de direkt módon nem akarjuk webre kötni. Valami biztonságos proxy beállítási javaslat? (Tudom rtfm. Olvasom is az apache doksit erősen.) Vagy egy külön porton vhost-ba?

Kösz az eddigi javalatokat mindenkinek.

Attila

"Egyre több informatikusnak van nemi élete. Hígul a szakma..."

( cheeky v | 2006. 10. 26., cs – 12:06 )

Ha igen gyanús, hogy megnyomták a szervert, akkor az alábbi lépéseket tudnám javasolni:
- poweroff
- diszkek ki
- új, szűz diszkek be
- új rendszer felrak, lehetőleg netkapcsolat nélkül, vagy más címen keresztül, mint amit eddig kintről el lehetett érni
- minden elképzelhető biztonsági patch plusz hardening felrak
- régi kivett diszkek másik gépbe berak, ha bármilyen módon megoldható, read only módban
- régi filerendszerekről image-eket készít (csak olvasás ugye)
- image-eken analizálja a betörést, károkat, stb.

Ha a régi rendszer működésének visszaállításához visszatöltés is szükséges (webszerver, db, ilyenek), akkor azt nagyon körültekintően kell elvégezni, és minden visszatöltött állományt ellenőrizni kell (configok, ilyesmik pláne).

Ez alsó hangon is egy alvásmentes hét, de lelkiismeretes rendszergazdi minimum így jár el.

Még vmi: az eredeti diszk az egyetlen bizonyíték arra, hogy mi történt, ezért kell érintetlennek maradnia, ezért mondtam a poweroff-ot is, mert sok oprendszer szabvány shutdown esetén egyrészt teleírja a logokat, amivel mondjuk egy Win esetén a régi logok esetleg "kipöröghetnek", másrészt meg olyan változásokat eszközöl a filerendszerekben, amik szintén tűntethetnek el bizonyítékokat (pl sokan wipe-olják a swap-et shutdown alatt, csak ezzel is piszok sok infó veszhet el).
Ezért kell az image-eken vizsgálódni, ott bármit nyugodtan el lehet rontani, és újra lehet kezdeni.
Dokumentált lépések után újra lehet játszani az egészet, és ha az jön ki, hogy Pistike sáros, akkor az bizonyítottnak tekinthető.

Magyarországon a hatályos törvények szerint a logokon végzett bármilyen transzformáció után azok már nem tekinthetőek bizonyítéknak, ennek fényében érdemes a logrotate utáni tömörítést használni... :)