Šta je novo?

Pomoc, irc bot ubacen na server, kako se ocistiti?

mladja04

Čuven
Učlanjen(a)
01.04.2003
Poruke
42
Poena
604
Pre nekog vremena neko mi je ubacio preko exploita (preko nekog sajta ciju skriptu nisam osvezio novijom) neki kod na server koji se zatim pokrenuo i izvrsio (neki IRC BOT) a koji nikako ne mogu da ocistim. Sada se cesto desava da server radi a da je ceo link od 10mb/s zauzet i nemoguce je da se niko poveze na s. u to vreme (primer).
Ostavio sam konkretno pitanje i podatke o ovom problemu na ovom forumu ali sam dobio objasnjenja koja zbog mog nedovoljno znanja ne mogu celokupno da sprovedem u delo.
Moze li mi neko pomoci, uputiti me sta da cinim i u kom dalje pravcu da krenem?

Unapred hvala na odgovorima.

Pozdrav, Mladen
 
kad otvorim taj tvoj "primer" - avast mi detektuje ELF:Small-M [Expl] sta god to bilo...
Dalje, kakav ti je to server, sta se nalazi na njemu? Premalo si dao informacija.
 
I ja koristim avast i takodje mi blokira kada zelim da udijem na "primer" stranu jer sam na njoj prekopirao kod koji je neko preko exploita bio ubacio na server i koji avast cita da je virus, trojan ili nestoslicno. Znaci samo text prepoznaje i ne zeli da ga ucita.


Ovako, konkretnije, na s. sam imao joomla skriptu koju nisam osvezio novijom i preko nje mi je ubacen neki kod (u tim kodovima sam pronasao da je to bio irc bot) koji se kasnije pokrenuo i izvrsio u /tmp folderu (a neka skripta i u /var/tmp). Te kodove kada sam pronasao sam preimenovao i chmodovao u 000 i restartovao server, ali, ponovo se nisam ocistio jer i dalje postoji "nesto" sto povremeno odvlaci sav protok sa servera u datom trenutku i onda se blokira pristup serveru, niko mu ne moze pristupiti osim tog pokrenutog procesa.

Sada sam na netu pronasao da bi trebalo zaustaviti izvrsavanje skripti iz tmp foldera pa sam na netu trazio i pronasao sam ovo
Securing directories: Remove the ability to execute scripts

Heres a couple different ways I do it
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi .txt *
Options -ExecCGI

This is cool, you are basically categorizing all those files that end in those extensions so that they fall under the jurisdiction of the -ExecCGI command, which also means -FollowSymLinks (and the opposite is also true, +ExecCGI also turns on +FollowSymLinks)
[/guote)
pa sam ubacio ovo u .htaccess fajlove koje sam smestio u /tmp foldere.

S. je RH4, Ensim, 10mb/s link itd. i na njemu se nalaze samo moji sajtovi i nema nikakvu drugu funkciju, podesen je profesionalno, sve nepotrebne komponente su mu iskljucene. Imam iptables podesen za osnove portove ACCEPT, svi ostali DROP. Sa rkhunter i chkrootkit alatima nista ne pronalazim sumnjivo.


Da dopunim jos i s ovim, sa iptraf alatom u vreme kada se desi flood link je 100% zauzet i niko ne moze psitupiti s. a jedna od linija je sledeca
UDP fragment (1500 bytes) from IPofMYserver to 85.225.48.181 on eth0
Prijatelj mi rece da je ovo udp flood koji krece sa nekog mog sajta. E sada, kako pronaci sa koga krece, posto sam ovaj koji je bio "provaljen" zakrpio, obrisao sam ga i ponovo pokrenuo? Procesi se stalno kreiraju i stalno nestaju, takodje i portovi preko kojih ide flood. Kako pronaci odakle krece ovaj problem?


Ima li na forumu neko ko se razume linux administraciju servera, kako bi se dogovorili o nekoj buducoj saradnji mozda, ukoliko samostalno ne uspem da resim problem? :(


U dodatku se nalaze dva fajla koja sam skinuo iz tmp foldera i koji su ubaceni preko exploita.
 

Prilozi

  • 1.txt
    373 bajta · Pregleda: 52
  • 2.txt
    33.4 KB · Pregleda: 1,446
Moguće je da ti je ceo sistem kompromitovan, kao što ti je neko već naznačio na onom forumu. U tom slučaju ne gine ti reinstalacija.

Druga mogućnost može biti da ti je exploit izmenio nešto u Joomli (ne reče koju verziju koristiš) i da sa njenim startovanjem kreće sve jovo nanovo.
 
Izgleda da je joomla u pitanju bila (nije poslednja verzija bila kada je hackovana, nadogradio sam je pre neki dan ali problem nije resen tom nadogradnjom), ali i dalje nisam siguran posto sam bio vratio verziju sajta koja mislim da nije bila zarazena (od pre par meseci) i onda nadogradio skriptu, ali i dalje je problem postojao. Zatim sam juce obrisao ceo sajt pa kreirao ponovo prazan nalog za taj sajt (bez skripte, samo index.html fajl) kad vidim posle nekog vremena (par sati) 2GB prostor koji sam dodelio za sajt 200% je zauzet, proverim sve logove, svaki fajl posebno i ne vidim nista sumnjivo, tako da sam obrisao ceo nalog za sajt pa cu sacekati neko vreme da vidim hoce li i dalje "padati" i kako ce se ponasati pa da onda vidim sta cu i kako cu.

Ima li ovde na forumu prisutan neko ko dobro poznaje linux administraciju servera, tj. server admin?
 
Upravo htedoh reci da mi deluje da ti server nije dobro obezbedjen i da premisini nisu najbolje podeseni.
 
Nisam resio problem ni sa brisanjem jednog sajta! :(

Izgleda da je sve otislo dodjavola, mislim, zarazen sistem!
Postoji li nacin da se "vidi" koja skripta je pokrenula nesto?
Jer evo sada recimo sav saobracaj ode ka jednom IP ali neznam kako da vidim sta je pokrenulo taj rad, znam samo da je UDP promet u pitanju.
 
Vrh Dno