Неужели взлом ?

Тема в разделе "Администрирование серверов", создана пользователем Protector, 29 сен 2015.

Модераторы: mefish, stooper
  1. Protector

    Protector

    Регистр.:
    17 ноя 2013
    Сообщения:
    161
    Симпатии:
    20
    Вчера вечером мой сервер (CentOS + Vestacp) был недоступен. Перезагрузил, проверил нагрузку, LoadAverage был 70-80%. По одному проверил все сайты, нашёл сайт который создавал нагрузку и вырубил, LoadAverage стал 0,5-2%. Утром проснулся, сервер недоступен, перезагрузил, ftp недоступен, ssh недоступен, только админ панель доступна. А днём и админ панель стала недоступна, пришлось восстанавливать пароль по е-мэйлу. Вопрос такой - меня взломали или в системе что то испортилось ? И если всё таки взломали, то что посоветуете сделать ?
     
  2. metsys

    metsys

    Регистр.:
    27 апр 2014
    Сообщения:
    477
    Симпатии:
    458
    первым делом, сразу же, погадать на кофейной гуще и посмотреть в хрустальный шар.... а потом можно что то предпринимать...
    1. проверить модифицированные файлы к примеру за последние 5-10 суток:
    Код:
    find /var/www/html -type f -mtime -10 -exec cp {} /folder/to/save/founded/files/ \;
    2. проверить все логи на предмет аномальности
    3. посидеть и самому помониторить с tcpdump'ом в руках

    но это для затравки, если совсем не знать что делать
     
    Protector нравится это.
  3. Protector

    Protector

    Регистр.:
    17 ноя 2013
    Сообщения:
    161
    Симпатии:
    20
    Спасибо конечно, но на сервер доступ отсутствует. Полностью. И ssh (putty и winscp), и ftp. Пока переустановил CentOS и восстановил сайты, сейчас массово меняю пароли (150 сайтов + ftp пароли). Теперь нужно сделать так чтобы это не повторилось.
     
  4. metsys

    metsys

    Регистр.:
    27 апр 2014
    Сообщения:
    477
    Симпатии:
    458
    если брешь была в приложении(скрипте и т д), то в нём и нужно затыкать дырки - обновление до актуальных версий, накатка патчей и т д ... если ломанули раз, второй и последующие взломы не за горами. для этого и проводят анализ инцидентов с выяснением подробностей, а не сносят и снова дуршлаг ставят. хотя на вкус и цвет товарищей нет.
    Как вариант - пробовать изолировать каждый проект доступными/возможными способами (suphp, chroot итп) во избежание вреда всему серванту.
     
    Sorcus нравится это.
  5. Protector

    Protector

    Регистр.:
    17 ноя 2013
    Сообщения:
    161
    Симпатии:
    20
    Я не системный администратор, я ставлю ВПС по накатанной схеме - ОС CentOS + панель VestaCp. Всего десяток базовых команд по CentOS знаю. Можете подробнее, "на пальцах" обьяснить что можно сделать ? Например с тем подозрительным сайтом который создаёт нагрузку на сервер и валит всю систему. Держать отключённым ?
     
  6. Sorcus

    Sorcus Sorcus. A New Beginning.

    Moderator
    Регистр.:
    10 июл 2011
    Сообщения:
    317
    Симпатии:
    629
    Ом-ном-ном - единственная фраза, возникающая при прочтении этой темы :eek:
    Как причина высокого LA - рассылка спама. Проверь очередь exim, postfix, или что у тебя там за smtp отвечает. Команды думаю найти сможешь. Даже если не рассылка спама - по-крайней мере на одну причину будет меньше :sun:
     
  7. Protector

    Protector

    Регистр.:
    17 ноя 2013
    Сообщения:
    161
    Симпатии:
    20
    Не вариант, я exim и dovecot (отвечающие за мэйл) вырубаю.
     
  8. a777d2

    a777d2 Создатель

    Регистр.:
    17 сен 2012
    Сообщения:
    32
    Симпатии:
    7
    Удали вообще этот сайт, или отключи, посмотри по логам напратяжении недели нагрузку, если все норм, то значит в том сайте дыры для хакеров! Сервер домашний? Возможна ddos атака! Посмотри как часто обращаются на сайт одинаковые IP, а также время падения сервера! Можно будет заблокировать IP этих взломщиков! Так же для безопасности, поищи ip прокси, анонимайзеров и т.д., любые ip которые может использовать хакер, блокируй все) Но проще конечно залатать дыры в сервере или сайте!
     
    Последнее редактирование: 30 сен 2015
    Protector нравится это.
  9. Cometa400

    Cometa400 Писатель

    Регистр.:
    24 авг 2015
    Сообщения:
    9
    Симпатии:
    1
    что бы подобного не происходило нужно правильно настроить пермишены системы.
    настройка отдельных пользователей для демонов и их уровень доступа в системе.
    защита от брута сервисов. защита движка от самого себя и не делать с сервера проходной двор: на один сервер - один админ.
    раз в месяц уделять один день на изучение логов и проверка последней модификации конфигов.
    это так, без паранои, по типу переименование команд в шеле на свои с системой репорта попытки использования старого синтаксиса команд.
    только при соблюдении эти правил можно спокойно спать и быть уверенным в надежной защите своей крепости.

    ps. буквально в пятницу ржали с админа, что у него можно скачать пхп файлы конфиг конекта к бд для цмс.
    есть куча фрилансеров, которые готовы следить за сервером за ЗП 100-500 долл. в месяц.
     
  10. micol

    micol Создатель

    Регистр.:
    2 дек 2013
    Сообщения:
    31
    Симпатии:
    6
    Ставь fail2ban, vnstat

    Первый надо настроить на блокировку в iptables (подбор паролей и т.п.), сведения брать по регуляркам из логов
    Второй пригодится посмотреть какой трафик вх/исх с количеством пакетов в секунду идет на машину: vnstat -l -i <имя интерфейса>

    Проверить целостность пакетов (изменения:( rpm -qVa Выдаст полотенце с удаленными, измененными и т.п. файликами и папками

    И самое главное, если видим аномальную нагрузку надо искать источник, но никак не сносить.

    Для начала посмотреть было бы не плохо какая это нагрузка: пользовательские приложения, ядро, прерывания и т.п.
    Но что сделано - то сделано