сервер уходит в аут

Discussion in 'Linux, Freebsd, *nix' started by OxoTnik, 11 Sep 2015.

  1. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    Проблема с Дебиан 7
    Сервер каждую минуту, уходит в аут примерно на 30 секунд, доступ из сети пропадает, зашёл через KVM увидел это

    [​IMG]

    Грешу на Ддос, но сам эксплойтов под мою систему не нашёл.

    Скажите, в какую сторону копать?




    Читаем пост https://forum.antichat.ru/threads/430180/#post-3890387
     
    #1 OxoTnik, 11 Sep 2015
    Last edited: 12 Sep 2015
  2. 1qoot1

    1qoot1 Member

    Joined:
    13 Jan 2014
    Messages:
    48
    Likes Received:
    10
    Reputations:
    1
    подозрительно много процессов ifconfig... Пройдись шатными утилитками на подозрительные процессы.
    ps axw | grep ifconfig

    потом смотри cmdline процесса.
     
    OxoTnik likes this.
  3. 1qoot1

    1qoot1 Member

    Joined:
    13 Jan 2014
    Messages:
    48
    Likes Received:
    10
    Reputations:
    1
    Мониторинг по трафику есть?
     
  4. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    Монитора нету, и как назло логирование апач вырубил...

    счас сервер в ауте, загружусь скину что выдало


    Счас я по шустрому установлю nginx, хоть что то
     
    #4 OxoTnik, 11 Sep 2015
    Last edited: 12 Sep 2015
  5. 1qoot1

    1qoot1 Member

    Joined:
    13 Jan 2014
    Messages:
    48
    Likes Received:
    10
    Reputations:
    1
    Закинь еще удочки в саппорт, спроси нет ли аномалий по траффику?
     
  6. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    сапорта нет трубку не берут ****
     
  7. 1qoot1

    1qoot1 Member

    Joined:
    13 Jan 2014
    Messages:
    48
    Likes Received:
    10
    Reputations:
    1
    Дозванивайся, поралельно смотри что с сервером происходит... Смотри процессы, смотри логи последнего логина. last, w, history, контроль процессы что лишнего запущенно убивай.
     
  8. 1qoot1

    1qoot1 Member

    Joined:
    13 Jan 2014
    Messages:
    48
    Likes Received:
    10
    Reputations:
    1
    еще вот это глянь,
    lsof -iTCP -sTCP:LISTEN -P
    lsof -iUDP -sUDP:LISTEN -P

    Проверь /tmp /etc/crontab /var/spool/cron/root

    Обычно всякая дрянь прячется в /usr/src /usr/game
    проверь последние изменненые файлы в катологе с веб сервером.

    Главное не паникуй и думай быстро, но четко.

    Если найдешь, что было, скинь сюда посмотреть файлик.
     
    #8 1qoot1, 12 Sep 2015
    Last edited: 12 Sep 2015
  9. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    дозвонился блядь, оказывается не меня ддосили а я атаковал кого то, только в понедельник узнаю кого :D
    гигабитным портом ёпнуло...
    [​IMG]


    Учитывая что из софта только всё стандартное, не могу понять как это произошло...

    ДатаЦентр обрезал мне канал, и у меня остался только KVM, дозвонился блеать
     
    #9 OxoTnik, 12 Sep 2015
    Last edited: 12 Sep 2015
    altblitz likes this.
  10. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    Ясно с первой мессаги.
    Разбор ошибок быстрый и основательный.

    ifconfig - эта программа устаревшая, сейчас её заменяет ip. Значит - менять OS GNU/Linux. Кажется, она из пещерных времён, версии 3.х. кернела
    Тот же ifconfig запущен с правами root - почему? Так не должно быть.

    Исправить эти две ошибки, и больше не будет Denial OS.

    OxoTnik, ниабижайся )
     
  11. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    В Общем проблема оказалась совсем другой, не обратил внимания..


    из под рута запускаются команды на сервере типа: ls или cd /etc/ и ifconfig и т.д.
    И все эти команды грузят систему на 100, и дублируются команды как на скриншоте
    [​IMG]

    Это происходит каждые 30 секунд


    Из установленного Апач 2.2, php 5.5, phpmyadmin, mysql-server, ISPmanager, библиотеки ioncube, java, ssh2 и ещё что то.
    суть, при этом всё это дерьмо, начинает куда то слать бешенный трафик, вот реально что можно поделать?
     
    #11 OxoTnik, 12 Sep 2015
    Last edited: 12 Sep 2015
  12. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    Это происходит каждые 30 секунд

    Само собой - не может такое произойти.
    В системе задана задача, которая исполняется cron или at - системным таймером.

    И снова, cron сейчас используется на совсем архаичных системах, о чём уже писал.
    Переставляй на новое систему, иначе опять найдутся дыры.
     
    #12 altblitz, 12 Sep 2015
    Last edited: 12 Sep 2015
  13. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    Грешил, crontab практически чистый, только процессы для ISPmanager


    А вот ещё что, когда мне инет вырубили, команды прекратили запускаться и грузить систему, как только дали началась пляска... Пришлось сервер пока выключить

    Ну эт слишком... нет надёжных систем, просто избавится от бага надо и нормально будэ.
    П.С. знал что надо центос ставить..
     
    #13 OxoTnik, 12 Sep 2015
    Last edited: 12 Sep 2015
  14. 1qoot1

    1qoot1 Member

    Joined:
    13 Jan 2014
    Messages:
    48
    Likes Received:
    10
    Reputations:
    1
    Выложи ifconfig сюда =)
    Посмотри дату изменения файлов в /usr/bin /usr/sbin, что свежее то и есть дрянь...
    Возможно, что либо через pma залезли либо через java.

    p.s. Почему вы используете pma? Если же есть нормальные клиенты под венду типа: sqlyog и прочих... они прекрасно умеют работать через ssh tunnel. И это нормальный аналог pma...
     
  15. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    /etc/network/interfaces

    iface eth1 inet static
    address 192.168.0.1
    netmask 255.255.255.0
    gateway 192.168.0.254
    dns-nameservers 8.8.8.8
    auto eth1
     
    #15 OxoTnik, 12 Sep 2015
    Last edited: 12 Sep 2015
  16. 1qoot1

    1qoot1 Member

    Joined:
    13 Jan 2014
    Messages:
    48
    Likes Received:
    10
    Reputations:
    1
    не то имел ввиду, сам файл ifconfig =)
    пост отредактируй)
     
  17. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    inet addr: х
    inet6 addr: х

    убираем.
     
  18. 1qoot1

    1qoot1 Member

    Joined:
    13 Jan 2014
    Messages:
    48
    Likes Received:
    10
    Reputations:
    1
    ты iptables не пользуешся???
    а то что очень много открытых портов..
    + трафика исходящего очень много если каждые 30 секунд начинается жесть
     
  19. Jondog

    Jondog New Member

    Joined:
    12 Sep 2015
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Скорее всего кто-то получил доступ к твоему серверу. Залил файл исполняемый файл с названием ifconfig и через него атакует других.

    Скорее всего у тебя стоит утилита locate. Выполни от рута:

    1) updatedb #соберет информацию о файлах в системе
    2) locate ifconfig #скорее всего их будет несколько, посмотри по дате или другим признакам.

    Совет: Если сервер был взломан, то наверняка там еще осталась какая-то дрянь. Необходимо переустановить ОС, вероятность того что ты найдешь заразу сам ничтожно мала.
     
  20. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    остановил сетевуху, хрень прекратилась...
    всё как положено 5-10% в пики... блятсво

    нет не стоит

    команды не опознаны.


    переустанавливать не буду, мороки потом много, тут бэкапам не обойдёшься.
    на сервере 1 сайт, в коде котором я уверен, он зашифрован, поэтому и стоят библиотеки ioncube, + в паблике его нету, и продажа узкопрофильная. ну а пароли мой хер всбрутишь как бы... в этом веке.
     
    #20 OxoTnik, 12 Sep 2015
    Last edited: 12 Sep 2015