Взломали сервер (nix)

У нас выделенный сервер, OpenSuse 13.
Там крутится веб сервер, точнее хостился свой сайт.
Как то хакнули (дефейс), потом админ восстановил все.
И вроде забыли про это дело.
недавно провайдер блокировал наш IP адрес сервера (у нас статический IP на веб сервер, отдельный), ссылаясь на то, что поступили многократные жалобы DDoS/spam от других провайдеров и всяких сервисов.
Думал недоразумение это сначала, но потом вспомнил, что недавно взломали и возможно установили бэкдур или какой то бот.
Вот теперь стоит вопрос обнаружения этого бота.
Кто силен в NIX системах и может помочь в этом деле?
Сервер отключен на данный момент, до выяснения причин. У меня копия диска, так что могу в офлайн варианте все посмотреть.

 

Обычно ддосовые боты на перле пишутся, находил довольно много таких, большинство общается через IRC. Ставь rkhunter, если ничего нет, грепай на распространенные фразы.

 

Подключить/загрузиться возможности нету. сервер запрещают включить. только дали копию диска для ручного поиска, раз вовремя не могли защищать )))
Так что только оффлайн , только хардкор

 

Для поиска исходящих соединений
Ставь HDD в другую машину, подсовывай ей шлюз(без доступа в инет) с установленным сниффером и дальше смотри куда стучит.

Для поиска входящих
Ставь на этот IPшник сервак с чистой осью, сниффер, и смотри кто/куда/зачем стучит.

А потом - логи, логи, и снова логи. В общих чертах как-то так
Сниффер бери любой, по вкусу. Хотя я больше WireShark люблю

 

Неужели прокатит такое дело? например с windows_ом такая махинация не прокатит, т.к. драйвера матплаты не даст даже стартовать. надо такую же базу. а там у нас xeon платформа. вряд ли получится запустить.

Я думал может есть общеизвестные разделы/каталоги, где могут "сесть" malware..
эхх, чувствую мне не легко будет.

 

Есть смысл проверить. Кстати, win тоже часто запускается при смене железа, если нужных драйверов подкинуть

 

Если хотите извратить сущность бытия, то можете попробовать собрать образ для OpenVZ или Xen, и запустить его на виртуалке (Сразу оговорюсь, возможно это просто технически невозможно). Отчасти именно поэтому использую виртуальную инфраструктуру на выделенных серверах.

 

мда.. и как мне быть тогда?
офлайн варианте нельзя ничего делать ?

 

Нормально встанет винда на другое железо, предварительно сбросив драйвера (особенно ide/sata контроллеров) на дефолтные. Сам с таким сталкивался.

 

Зачем тебе офлайн вариант, если в онлайном получится хороший стенд. За день - другой справишься.

P.S. "Сброс драйверов на дефолтные" впечатлил.

 

А получится ли этот образ виртуально запустить? на VMWare например..
я последний раз имел дело с NIX в 2007-2008, и то часть администрировал через Webmin

Сильно сказано )))

 

испытаешь, отпиши в ПМ пожалуйста

 

Тут зависит и от квалификации ботовода, есть также и на пхп, и схемы работы могут быть разные, бот может висеть и на порту каком-то, а может и по крону запускаться, тут вообщем целевую систему смотреть надо.

Может имеет смысл по новой поднять сервер? Уже с предусмотренными мерами безопасности и соотвествующем логирование?

 

Винстон привет

 

Что то смешное сказал? При смене мат. платы может смениться и контроллер для HDD, и винда не стартанет так как будет установлен левый драйвер. Сам сталкивался с таким, пришлось править реестр руками, с флешки

 

Ты уж определись, что ты делал - драйвер под устройство заливал в систему, или "сбрасывал его на "дефолтный""(с)(тм). Это,как говорят, две большие разницы. Подсовывать в систему нужный драйвер частенько приходится "ручками", тут вопросов никаких, а вот в плане "сброса его на дефолтный" ты явный первооткрыватель. Сорри за оффтоп.

ТС, как там твои успехи то? Получилось отвиртуалить диск или нет? Если да, то поделись успехами; под виндой то ясно чем виртуалить, а вот никсами - вдруг пригодится

 

Спасибо всем, мне внезапно командировали в другой город.. Вот такие дела бывают

поднять все сначала-то да, но а как насчет "корпоративных политик" , надо же зрелищные сцены
диск у меня в кабинете, копировали на переносной HDD, да боюсь там еще и окажется просто копия данных (типа через тотал командер данные копировали), а не образ диска.
Как всегда, все через одно место.

Кстати, а не вариант найти в файловом системе какие то логи или конфиг файлы, где будут следы таких программ?

 

Вариант! но сомневаюсь, что у вас логи хранились нужное время...

 

нужно полностью переустановить сервер, и настроить iptables на блокировку всего, кроме нужного. И такого больше не будет. но тогда возможн ddos и чтобы его не было нужно будет платить за ddos защиту от 200$ в месяц к стоимости VPS/VDS.

 

а в NIX системах по умолчанию сколько хранятся лог? если год хранятся, то думаю все можно найти, только вот знать где искать и что
как там говорят - страшно искать черную кошку в темной комнате, а вдвойне страшнее - когда там змея


Ну а ладно, если скажем все же монтирую систему, то что в этом случае искать? возможно бот не будет отстукивать к СС. хотя думаю если даже СС уже не функционирует, то боты все равно будут же отстукивать?
А есть какие то fingerprint_ы для обнаружения трафиков от ботов?


yoweb

Как понадобиться ваши услуги, мы обязательно к вам обратимся Пока что надо выяснить что к чему.