среда, 26 мая 2010 г.

хакнули сервак

Седня ночью мониторинг завалил смс-ками о том, что один из серваков работает с перебоями. По приезду на работу полез его проверять. И выяснил, что перебои объясняются нагрузкой, которую на него генерит некий процесс scanit. Оный процесс сканит инет на тему ssh-серверов и потом перебирает к ним пароли. Исполняемый код сидел в /usr/lib/.it/
Запускался процесс от рута с удаленного хоста.
Выяснил, что на этом серваке изначально не отключил разрешение руту входить по ssh, хотя вроде везде отключаю. Пароль у рута в принципе несложный, подобрать брутфорсом можно быстро. Сервак сильно второстепенный, используется для одного тока сайта и потому им особо никто не занимается (там даже centos еще 4.8), стоит 100 лет работает. В общем, эту заразу вычистил.
НО! Попутно нашел еще одну заразу, которая сидела уже давно. Очень давно. Комп практически не грузила, тоже сканила хосты в инете и брутфорсила пароли. Эта хрень была подсажена через сайт, судя по всему. Файлы ее принадлежали apache, сидели в /var/spool/samba/.ICE-unix/, а запускались кроном от рута, cron-файлик лежал в /var/spool/cron, и назывался apache.
Блин, я в расстройстве. Надо начинать параноить, перебирать все серваки, проверять на них на всех настройки и может до кучи включать мониторинг изменения файлов или еще что.
Как минимум в первую очередь надо:
1. Проверить, чтобы везде был запрещен рут по ssh (вообще я такое на всех серваках, торчащих в инет, закрываю. Но вот тут же слажал).
2. В идеале еще и поменять везде порт для sshd, чтобы сидел не на 22 порту.

Еще забавно было - был запрещен для редактирования файл /etc/ssh/sshd_config. Были выставлены атрибуты, запрещающие редактирование.
Помогло chattr -uia /etc/ssh/sshd_config.
Так же пришлось обработать еще несколько файлов (в частности /etc/ssh/ssh_config, /usb/bin/ssh, /usr/bin/slogin).

Комментариев нет:

Отправить комментарий