Проблема с Дебиан 7 Сервер каждую минуту, уходит в аут примерно на 30 секунд, доступ из сети пропадает, зашёл через KVM увидел это Грешу на Ддос, но сам эксплойтов под мою систему не нашёл. Скажите, в какую сторону копать? Читаем пост https://forum.antichat.ru/threads/430180/#post-3890387
подозрительно много процессов ifconfig... Пройдись шатными утилитками на подозрительные процессы. ps axw | grep ifconfig потом смотри cmdline процесса.
Монитора нету, и как назло логирование апач вырубил... счас сервер в ауте, загружусь скину что выдало Счас я по шустрому установлю nginx, хоть что то
Дозванивайся, поралельно смотри что с сервером происходит... Смотри процессы, смотри логи последнего логина. last, w, history, контроль процессы что лишнего запущенно убивай.
еще вот это глянь, lsof -iTCP -sTCP:LISTEN -P lsof -iUDP -sUDP:LISTEN -P Проверь /tmp /etc/crontab /var/spool/cron/root Обычно всякая дрянь прячется в /usr/src /usr/game проверь последние изменненые файлы в катологе с веб сервером. Главное не паникуй и думай быстро, но четко. Если найдешь, что было, скинь сюда посмотреть файлик.
дозвонился блядь, оказывается не меня ддосили а я атаковал кого то, только в понедельник узнаю кого гигабитным портом ёпнуло... Учитывая что из софта только всё стандартное, не могу понять как это произошло... ДатаЦентр обрезал мне канал, и у меня остался только KVM, дозвонился блеать
Ясно с первой мессаги. Разбор ошибок быстрый и основательный. ifconfig - эта программа устаревшая, сейчас её заменяет ip. Значит - менять OS GNU/Linux. Кажется, она из пещерных времён, версии 3.х. кернела Тот же ifconfig запущен с правами root - почему? Так не должно быть. Исправить эти две ошибки, и больше не будет Denial OS. OxoTnik, ниабижайся )
В Общем проблема оказалась совсем другой, не обратил внимания.. из под рута запускаются команды на сервере типа: ls или cd /etc/ и ifconfig и т.д. И все эти команды грузят систему на 100, и дублируются команды как на скриншоте Это происходит каждые 30 секунд Из установленного Апач 2.2, php 5.5, phpmyadmin, mysql-server, ISPmanager, библиотеки ioncube, java, ssh2 и ещё что то. суть, при этом всё это дерьмо, начинает куда то слать бешенный трафик, вот реально что можно поделать?
Это происходит каждые 30 секунд Само собой - не может такое произойти. В системе задана задача, которая исполняется cron или at - системным таймером. И снова, cron сейчас используется на совсем архаичных системах, о чём уже писал. Переставляй на новое систему, иначе опять найдутся дыры.
Грешил, crontab практически чистый, только процессы для ISPmanager А вот ещё что, когда мне инет вырубили, команды прекратили запускаться и грузить систему, как только дали началась пляска... Пришлось сервер пока выключить Ну эт слишком... нет надёжных систем, просто избавится от бага надо и нормально будэ. П.С. знал что надо центос ставить..
Выложи ifconfig сюда =) Посмотри дату изменения файлов в /usr/bin /usr/sbin, что свежее то и есть дрянь... Возможно, что либо через pma залезли либо через java. p.s. Почему вы используете pma? Если же есть нормальные клиенты под венду типа: sqlyog и прочих... они прекрасно умеют работать через ssh tunnel. И это нормальный аналог pma...
/etc/network/interfaces iface eth1 inet static address 192.168.0.1 netmask 255.255.255.0 gateway 192.168.0.254 dns-nameservers 8.8.8.8 auto eth1
ты iptables не пользуешся??? а то что очень много открытых портов.. + трафика исходящего очень много если каждые 30 секунд начинается жесть
Скорее всего кто-то получил доступ к твоему серверу. Залил файл исполняемый файл с названием ifconfig и через него атакует других. Скорее всего у тебя стоит утилита locate. Выполни от рута: 1) updatedb #соберет информацию о файлах в системе 2) locate ifconfig #скорее всего их будет несколько, посмотри по дате или другим признакам. Совет: Если сервер был взломан, то наверняка там еще осталась какая-то дрянь. Необходимо переустановить ОС, вероятность того что ты найдешь заразу сам ничтожно мала.
остановил сетевуху, хрень прекратилась... всё как положено 5-10% в пики... блятсво нет не стоит команды не опознаны. переустанавливать не буду, мороки потом много, тут бэкапам не обойдёшься. на сервере 1 сайт, в коде котором я уверен, он зашифрован, поэтому и стоят библиотеки ioncube, + в паблике его нету, и продажа узкопрофильная. ну а пароли мой хер всбрутишь как бы... в этом веке.
