подозрение на взлом

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
20 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

подозрение на взлом

Vladimir L. Antipov

Такие  дела.. закрался сабж. На машинке веб-сервер с кучей виртуальных
хостов.

 Собсна  вопрос, т.к. с подобными вещами сталкиваюсь впервые, то какие
 действия предпринять, для выявления/подтверждения факта проникновения?

 

--
Yours faithfully, Vladimir L. Antipov
the engineer-programmer, "IC Sampo.ru" UAB

mailto:[hidden email]

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Rayne-3
Смотреть логи.
Есть книги (если вас взломали) или типа того.
Логично было бы попытаться определить хост с которого произошёл взлом.
В логах виден процесс авторизации вроде видны хосты.

По машинам хостеров можно шарится через файлик php_editor.
Закидываешь его на свой хостинг, а дальше по вебу открываешь его и можешь по всем сайтам на площадке лазить.
У некоторых хостеров можно вообще по всей машине через него ходить. Выполняется от процесса апача.
В логах видно что апачь шарился по дирикториям. Можно найти откуда он начал путь.

Интересную тему подняли.






02 октября 2011, 12:46 от "Vladimir L. Antipov" <[hidden email]>:

>
> Такие  дела.. закрался сабж. На машинке веб-сервер с кучей виртуальных
> хостов.
>
>  Собсна  вопрос, т.к. с подобными вещами сталкиваюсь впервые, то какие
>  действия предпринять, для выявления/подтверждения факта проникновения?
>
> --
> Yours faithfully, Vladimir L. Antipov
> the engineer-programmer, "IC Sampo.ru" UAB
>
> mailto:[hidden email]
>
--

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Vladimir L. Antipov

Hello rayne,

Sunday, October 2, 2011, 2:54:10 PM, you wrote:

> Смотреть логи.
> Есть книги (если вас взломали) или типа того.
> Логично было бы попытаться определить хост с которого произошёл взлом.
> В логах виден процесс авторизации вроде видны хосты.

> По машинам хостеров можно шарится через файлик php_editor.
> Закидываешь его на свой хостинг, а дальше по вебу открываешь его и
> можешь по всем сайтам на площадке лазить.
> У некоторых хостеров можно вообще по всей машине через него ходить. Выполняется от процесса апача.
> В логах видно что апачь шарился по дирикториям. Можно найти откуда он начал путь.

> Интересную тему подняли.

в  общих  чертах  уяснил,  а  можно  ли чуть более предметно? В рамках
именно опёнка и его особенностей?

 Думаю,  многим  будет интересно.. Опен, конечно, надёжная система, но
 это не повод расслабляться :)



--
Yours faithfully, Vladimir L. Antipov
the engineer-programmer, "IC Sampo.ru" UAB

mailto:[hidden email]

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Alexander Sheiko

Hello Vladimir,

Sunday, October 2, 2011, 2:52:21 PM, you wrote:


VLA> в  общих  чертах  уяснил,  а  можно  ли чуть более предметно? В рамках
VLA> именно опёнка и его особенностей?

Apache в chroot-е? Как сайты то обновляются - web интерфейс / FTP /
SFTP? Почему подозрение, что взломано через веб сервер? Что из себя
представляют сайты (статика / динамика), чем генерится динамика?

Это - минимум вопросов, перед тем, как вообще давать советы :).

--
WBR, Alexander Sheiko

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Vladimir L. Antipov

Hello Alexander,

Sunday, October 2, 2011, 4:21:20 PM, you wrote:

> Hello Vladimir,

> Sunday, October 2, 2011, 2:52:21 PM, you wrote:


VLA>> в  общих  чертах  уяснил,  а  можно  ли чуть более предметно? В рамках
VLA>> именно опёнка и его особенностей?

> Apache в chroot-е? Как сайты то обновляются - web интерфейс / FTP /
> SFTP? Почему подозрение, что взломано через веб сервер? Что из себя
> представляют сайты (статика / динамика), чем генерится динамика?

> Это - минимум вопросов, перед тем, как вообще давать советы :).

Сабж OpenBSD 4.3 GENERIC#698 i386

в rc.conf  httpd_flags="-u"

сайты  обновляются  через  scp.  Доступ по ftp к некоторым директориям
ограничен ftp-chroot'ом. Сайты - динамика(90% wordpress, остальное
- самопись на перле). Подозрение про взлом вообще, не конкретно
через веб, но заодно грешу и на него.

в   /var/log/authlog   огромное  количество  попыток  авторизации  под
различными  логинами  и  с  различных  ip.  Подозрение  на  брутфорс и
сканирование, как следствие.



--
Yours faithfully, Vladimir L. Antipov
the engineer-programmer, "IC Sampo.ru" UAB

mailto:[hidden email]

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Alexander Sheiko

Hello Vladimir,

Sunday, October 2, 2011, 4:01:08 PM, you wrote:

VLA> в rc.conf  httpd_flags="-u"

Это - не очень хорошо, хотя и не смертельно. Лучше Apache в chroot-e, тогда через любые скрипты до
системы вообще не доберутся. PHP / Perl / MySQL нормально работают и в этом
режиме при правильной настройке.

VLA> сайты  обновляются  через  scp.

Это же неудобно, почему не через SFTP?

VLA> Доступ по ftp к некоторым директориям
VLA> ограничен ftp-chroot'ом.

Само собой.

VLA>  Сайты - динамика(90% wordpress, остальное
VLA> - самопись на перле). Подозрение про взлом вообще, не конкретно
VLA> через веб, но заодно грешу и на него.

Прежде всего посмотрите на отсутствие уязвимости в стоящей версии
wordpress и правильные права на его конфигурационные файлы.
Дыры в популярных движках быстро находят и сканируют на них
потом весь интЫрнет.

VLA> в   /var/log/authlog   огромное  количество  попыток  авторизации  под
VLA> различными  логинами  и  с  различных  ip.  Подозрение  на  брутфорс и
VLA> сканирование, как следствие.

По SSH? Для современного интернета это нормально. Поставьте вот эту
байду:

http://www.openbsd.ru/cgi-bin/cvsweb/src/sshwatchd/

и обломаете всех переборщиков.

Внимательно посмотрите удачные заходы по SSH / FTP. Большинство взломов
имеет банальные причины, вроде воровства паролей (скажем - из почтовых ящиков) или вовремя не
обновлённого распространённого скрипта.

--
WBR, Alexander Sheiko

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Alexey Savartsov
In reply to this post by Vladimir L. Antipov

On Sunday, October 2, 2011 at 5:01 PM, Vladimir L. Antipov wrote:

>  
> Hello Alexander,
>  
> Sunday, October 2, 2011, 4:21:20 PM, you wrote:
>  
> > Hello Vladimir,
>  
> > Sunday, October 2, 2011, 2:52:21 PM, you wrote:
>  
>  
> VLA>> в общих чертах уяснил, а можно ли чуть более предметно? В рамках
> VLA>> именно опёнка и его особенностей?
>  
> > Apache в chroot-е? Как сайты то обновляются - web интерфейс / FTP /
> > SFTP? Почему подозрение, что взломано через веб сервер? Что из себя
> > представляют сайты (статика / динамика), чем генерится динамика?
>  
> > Это - минимум вопросов, перед тем, как вообще давать советы :).
>  
> Сабж OpenBSD 4.3 GENERIC#698 i386
>  
> в rc.conf httpd_flags="-u"
>  
> сайты обновляются через scp. Доступ по ftp к некоторым директориям
> ограничен ftp-chroot'ом. Сайты - динамика(90% wordpress, остальное
> - самопись на перле). Подозрение про взлом вообще, не конкретно
> через веб, но заодно грешу и на него.
>  
> в /var/log/authlog огромное количество попыток авторизации под
> различными логинами и с различных ip. Подозрение на брутфорс и
> сканирование, как следствие .
>  
>  
обычное дело же. вряд-ли кто-то пытается ломать персонально вас. усильте безопасность: используйте ключи, а не пароли и спите спокойно — пусть хоть оббрутфорсятся. можно поиграться с файрволом, ограничив максимальное количество подключений по порту в определенный промежуток времени (max-src-conn number / max-src-conn-rate). ну, кто-то еще порт ssh меняет — большинство скриптов на этом обламываются.  
>  
> --  
> Yours faithfully, Vladimir L. Antipov
> the engineer-programmer, "IC Sampo.ru (http://Sampo.ru)" UAB
>  
> mailto:[hidden email]
--  
Alexey Savartsov

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Alexander Sheiko

Hello Alexey,

Sunday, October 2, 2011, 4:27:42 PM, you wrote:


AS> усильте безопасность: используйте ключи, а не пароли и спите
AS> спокойно — пусть хоть оббрутфорсятся.

Ну - не всё так однозначно: ключ можно с клиентского компа просто украсть, пароль (разумные люди) держат в голове или в сейфе
конторы. Ключи удобны для всяких скриптов, которым нужен доступ по SSH. ИМХО.

--
WBR, Alexander Sheiko

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

draft-3
In reply to this post by Vladimir L. Antipov

02.10.2011 17:01, Vladimir L. Antipov пишет:
> в   /var/log/authlog   огромное  количество  попыток  авторизации  под
> различными  логинами  и  с  различных  ip.
немного уходя в сторону: проблему брута ssh отлично устраняет sshwatchd,
проблему брута ftp отлично устраняет

pass in on $wan_if inet proto tcp from any to ($wan_if:0) port { ftp,
ftp-data, >= 49152 } \
        keep state (max-src-conn-rate 5/40, overload <ftp-bruteforcers>
flush global)

пользуешься подобным?..

P.S.: последнее даже порой перегибает палку :) в условиях двух близких
во времени попыток зайти разными клиентами, IP попадает-таки в blacklist )

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Alexander Sheiko

Hello draft,

Sunday, October 2, 2011, 7:33:37 PM, you wrote:

d> проблему брута ftp отлично устраняет

d> pass in on $wan_if inet proto tcp from any to ($wan_if:0) port { ftp,
ftp-data, >>= 49152 } \
d>         keep state (max-src-conn-rate 5/40, overload <ftp-bruteforcers>
d> flush global)
d> P.S.: последнее даже порой перегибает палку   в условиях двух близких
d> во времени попыток зайти разными клиентами, IP попадает-таки в blacklist )

Потому, что это решение смотрит на количество соединений за единицу
времени, а нужно смотреть на ошибки авторизации. Т. е. нужен софт,
вроде sshwatchd, bruteblock и т. п.

--
WBR, Alexander Sheiko

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

draft-3

02.10.2011 20:45, Alexander Sheiko пишет:
> Потому, что это решение смотрит на количество соединений за единицу
> времени, а нужно смотреть на ошибки авторизации. Т. е. нужен софт,
> вроде sshwatchd, bruteblock и т. п.
Ну, само собой. А sshwatchd в свою очередь весьма примитивен - считает
кол-во ошибок авторизации из /var/log/authlog , и при достижении нужного
количества блочит pf'ом. Решение c ftp выше - имхо даже лучше, так как
блокирует также и излишнее потребление ресурсов, вызванное левыми
коннектами.

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Vladimir L. Antipov
In reply to this post by draft-3

Hello draft,

Sunday, October 2, 2011, 8:33:37 PM, you wrote:


> 02.10.2011 17:01, Vladimir L. Antipov пишет:
>> в   /var/log/authlog   огромное  количество  попыток  авторизации  под
>> различными  логинами  и  с  различных  ip.
> немного уходя в сторону: проблему брута ssh отлично устраняет sshwatchd,
> проблему брута ftp отлично устраняет

> pass in on $wan_if inet proto tcp from any to ($wan_if:0) port { ftp,
ftp-data, >>= 49152 } \
>         keep state (max-src-conn-rate 5/40, overload <ftp-bruteforcers>
> flush global)

> пользуешься подобным?..

нет, но возьму на заметку, спасибо!

> P.S.: последнее даже порой перегибает палку :) в условиях двух близких
> во времени попыток зайти разными клиентами, IP попадает-таки в blacklist )

А что делать, если, например, взлом уже произошёл и логи почищены? Как
выявить заразу в системе постфактум?

--
Yours faithfully, Vladimir L. Antipov
the engineer-programmer, "IC Sampo.ru" UAB

mailto:[hidden email]

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Sergey Bronnikov
On 10:20 Mon 03 Oct , Vladimir L. Antipov wrote:
>
> Hello draft,
>
> А что делать, если, например, взлом уже произошёл и логи почищены? Как
> выявить заразу в системе постфактум?

в первую очередь читать логи.
Вот тут например есть рекомендации -
https://lkml.org/lkml/2011/9/30/425
Но они больше к линуксу относятся.

--
sergeyb@

attachment0 (851 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Vladimir L. Antipov

Hello Sergey,

Monday, October 3, 2011, 10:35:34 AM, you wrote:

> On 10:20 Mon 03 Oct , Vladimir L. Antipov wrote:
>>
>> Hello draft,
>>
>> А что делать, если, например, взлом уже произошёл и логи почищены? Как
>> выявить заразу в системе постфактум?

> в первую очередь читать логи.
> Вот тут например есть рекомендации -
> https://lkml.org/lkml/2011/9/30/425
> Но они больше к линуксу относятся.

в том и беда, что опытный какер логи потрёт на раз :\


--
Yours faithfully, Vladimir L. Antipov
the engineer-programmer, "IC Sampo.ru" UAB

mailto:[hidden email]

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Sergey Bronnikov
On 10:39 Mon 03 Oct , Vladimir L. Antipov wrote:

> Hello Sergey,
>
> Monday, October 3, 2011, 10:35:34 AM, you wrote:
>
> > On 10:20 Mon 03 Oct , Vladimir L. Antipov wrote:
> >>
> >> Hello draft,
> >>
> >> А что делать, если, например, взлом уже произошёл и логи почищены? Как
> >> выявить заразу в системе постфактум?
>
> > в первую очередь читать логи.
> > Вот тут например есть рекомендации -
> > https://lkml.org/lkml/2011/9/30/425
> > Но они больше к линуксу относятся.
>
> в том и беда, что опытный какер логи потрёт на раз :\
тогда намотать на ус и сделать удаленное логгирование
на отдельный syslog-сервер :)
 
>
> --
> Yours faithfully, Vladimir L. Antipov
> the engineer-programmer, "IC Sampo.ru" UAB
>
> mailto:[hidden email]
>

--
sergeyb@

attachment0 (851 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Vladimir L. Antipov

Hello Sergey,

Monday, October 3, 2011, 11:06:12 AM, you wrote:

> On 10:39 Mon 03 Oct , Vladimir L. Antipov wrote:
>> Hello Sergey,
>>
>> Monday, October 3, 2011, 10:35:34 AM, you wrote:
>>
>> > On 10:20 Mon 03 Oct , Vladimir L. Antipov wrote:
>> >>
>> >> Hello draft,
>> >>
>> >> А что делать, если, например, взлом уже произошёл и логи почищены? Как
>> >> выявить заразу в системе постфактум?
>>
>> > в первую очередь читать логи.
>> > Вот тут например есть рекомендации -
>> > https://lkml.org/lkml/2011/9/30/425
>> > Но они больше к линуксу относятся.
>>
>> в том и беда, что опытный какер логи потрёт на раз :\

> тогда намотать на ус и сделать удаленное логгирование
> на отдельный syslog-сервер :)

а вот это умная мысль :) Первостатейно для продакшн-систем


--
Yours faithfully, Vladimir L. Antipov
the engineer-programmer, "IC Sampo.ru" UAB

mailto:[hidden email]

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Dinar Talypov
In reply to this post by Vladimir L. Antipov


надо делать чексамы на критичные файлы и тогда все подозрения отпадут.

--
Dinar Talypov <[hidden email]>

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Anton Maksimenkov-2
In reply to this post by Vladimir L. Antipov
>>> >> А что делать, если, например, взлом уже произошёл и логи почищены? Как
>>> >> выявить заразу в системе постфактум?

Вообще-то это большое количество работы. Надо хорошо взвесить риски (а
взломали ли или тока так кажется/боится?), смысл отвлечения
человеческих ресурсов на проверку системы и анализ текущей
деятельности.
Грубо говоря, кто-то должен взять ответственность (инженер) за доклад
"да, есть подозрения, такие-такие-такие". Кто-то должен взять
ответственность (рук.отдела) решить что "судя по всему есть риск что
было дело, надо бы предпринять проверки, выделить человекочасы".
Кто-то должен взять ответственность (начальник подразделения или
техдир) поставить вопрос "происшествие заслуживает внимания, нужно
сделать дела, отвлечь/занять людей, время". Кто-то должен решить
(техдир-дир-дир по работе с клиентами) что риски и потери адекватны
затратам и дать отмашку "берите ресурсы, выполняйте".
Каждый рискует головняками, "компетенцией", деньгами и прочее, как за
то чтобы решить что "было нечто, надо делать", так и за то чтобы
решить что "видимо всё таки тревога ложная или пускай пока в воздухе
повисит...".

После решения инженеры садятся и сверяют контрольные суммы файлов,
включают всякие счётчики-логгеры-расширенное логирование,
пишут-запускают специфических роботов на автоматизацию
анализа/предупреждений о каких-то событиях/действиях на предмет
области подозрений, анализируют входы/логины, сетевую активность,
время-тип активности клиентов, отрабатывают/проверяют это во
взаимодействии с клиентами (грубо говоря "а это действительно вы
заходили тогда-то и хотели сделать тото подозрительное")... ну и всё
такое.

Цепочка и круг лиц может быть шире/уже, ответственность больше/меньше,
соответственно подход с большим или меньшим кол-вом труда и головняка.

Кому-то может статься проще установить новую систему на резервный
сервак, сбэкапить туда клиентское фуфло^H файло, переключить его на
место рабочего и спокойно жить, есть и спать до очередного этапа.

Как-то так.
--
antonvm
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Vladimir L. Antipov

Hello Anton,

Monday, October 3, 2011, 12:24:23 PM, you wrote:

>>>> >> А что делать, если, например, взлом уже произошёл и логи почищены? Как
>>>> >> выявить заразу в системе постфактум?

> Вообще-то это большое количество работы. Надо хорошо взвесить риски (а
> взломали ли или тока так кажется/боится?), смысл отвлечения
> человеческих ресурсов на проверку системы и анализ текущей
> деятельности.
> Грубо говоря, кто-то должен взять ответственность (инженер) за доклад
> "да, есть подозрения, такие-такие-такие". Кто-то должен взять
> ответственность (рук.отдела) решить что "судя по всему есть риск что
> было дело, надо бы предпринять проверки, выделить человекочасы".
> Кто-то должен взять ответственность (начальник подразделения или
> техдир) поставить вопрос "происшествие заслуживает внимания, нужно
> сделать дела, отвлечь/занять людей, время". Кто-то должен решить
> (техдир-дир-дир по работе с клиентами) что риски и потери адекватны
> затратам и дать отмашку "берите ресурсы, выполняйте".
> Каждый рискует головняками, "компетенцией", деньгами и прочее, как за
> то чтобы решить что "было нечто, надо делать", так и за то чтобы
> решить что "видимо всё таки тревога ложная или пускай пока в воздухе
> повисит...".

> После решения инженеры садятся и сверяют контрольные суммы файлов,
> включают всякие счётчики-логгеры-расширенное логирование,
> пишут-запускают специфических роботов на автоматизацию
> анализа/предупреждений о каких-то событиях/действиях на предмет
> области подозрений, анализируют входы/логины, сетевую активность,
> время-тип активности клиентов, отрабатывают/проверяют это во
> взаимодействии с клиентами (грубо говоря "а это действительно вы
> заходили тогда-то и хотели сделать тото подозрительное")... ну и всё
> такое.

> Цепочка и круг лиц может быть шире/уже, ответственность больше/меньше,
> соответственно подход с большим или меньшим кол-вом труда и головняка.

> Кому-то может статься проще установить новую систему на резервный
> сервак, сбэкапить туда клиентское фуфло^H файло, переключить его на
> место рабочего и спокойно жить, есть и спать до очередного этапа.

> Как-то так.

Спасибо! Отличная выкладка!

А вообще были случаи порабощения сабжа на практике?

--
Yours faithfully, Vladimir L. Antipov
the engineer-programmer, "IC Sampo.ru" UAB

mailto:[hidden email]

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: подозрение на взлом

Andrey Sergienko
In reply to this post by Vladimir L. Antipov

http://www.opennet.ru/tips/2631_check_security_rootkit_linux_rpm_deb_redhat_fedora_debian_ubuntu.shtml

вот свежая нвоость на опеннете. для линукс, но суть та же. может, поможет.

On 02.10.2011 10:28, Vladimir L. Antipov wrote:
>
> Такие  дела.. закрался сабж. На машинке веб-сервер с кучей виртуальных
> хостов.
>
>  Собсна  вопрос, т.к. с подобными вещами сталкиваюсь впервые, то какие
>  действия предпринять, для выявления/подтверждения факта проникновения?
>
>  
>

--
Andrey Sergienko
http://storinka.com.ua

Loading...