форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Сеть. проблемы, диагностика / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"сервер на freebsd и бесплатные движки"	+/–
Сообщение от nikulich (ok) on 25-Апр-12, 12:54
есть сервачёк используется под хостинг на freebsd, на нём примерно 60 сайтов , сайты на разных движках (ДЛЕ, джумала и т.д. ) переодически с него идёт флуд по UDP на разные сайты, т.е. какой то из сайтов ломанули. как определить какой ? при флуде определённые чилд процессы естественно грузят проц сервера на 100%, но с какого именно сайта это делают непонятно. Как определить в каком из сайтов на серваке дыра через которую это делают ?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "сервер на freebsd и бесплатные движки"	+/–
Сообщение от parad (ok) on 25-Апр-12, 13:46
хорошая практика отдельный пользователь на каждый домен. иначе получается ломанув один сайт страдают все. еще лучшая практика - отдельный джайл под каждый домен. по поводу текущей ситуации. нужно прикидывать глубину проникновения: - работа по удп поддерживается самим приложением и эксплуатируется встроенный функционал. тогда для запуска необходим хттп запрос - смотреть логи - там должно быть. ( также, прямой поддержки udp на стороне приложения может не быть, а просто есть возможность выполнить eval блок ). - есть дыра, позволяющая выполнить шелл-команду на сервере. тогда - все-равно смотреть логи хттп сервера, проверить дату изменения скриптов движков( часто при проникновении модифицируется исходный код, добавлением новой дыры ), посмотри папки, в которые разрешен доступ для записи на появление новых файлов( про /tmp не забудь ). проверь крон. - часто дыры находят боты, которые по определенным словарям уязвимостей(движков) перебирают домены. - часто проэксплуатировав дыру, на страницы сайта добавляется ява-скрипты, эксплуатирующие дыры браузеров клиентов и/или проводящие атаки хсс и пр на пользователей. поэтому как вариант - пройтись по сайтам и посмотреть - появились ли в штмлях подгрузки непонятных яваскриптов или просто непонятный - блокирование на фаерволе - устранение следствия, а не причины. в общем: задача не тревиальная. + неизвестно были ли подняты привилегии. вдруг у тебя веб-пользователь в листе судо. в общем, натупил ты, бро, изначально не разграничив домены.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "сервер на freebsd и бесплатные движки"	+/–
	Сообщение от nikulich (ok) on 25-Апр-12, 13:54
	>[оверквотинг удален] > - часто дыры находят боты, которые по определенным словарям уязвимостей(движков) перебирают > домены. > - часто проэксплуатировав дыру, на страницы сайта добавляется ява-скрипты, эксплуатирующие > дыры браузеров клиентов и/или проводящие атаки хсс и пр на пользователей. > поэтому как вариант - пройтись по сайтам и посмотреть - появились > ли в штмлях подгрузки непонятных яваскриптов или просто непонятный > - блокирование на фаерволе - устранение следствия, а не причины. > в общем: задача не тревиальная. + неизвестно были ли подняты привилегии. вдруг > у тебя веб-пользователь в листе судо. в общем, натупил ты, бро, > изначально не разграничив домены. доменов 60+ а то и больше там, пользователей около 20, по логам искал адрес на кого идёт атака с меня, ничего не выдало по  IP куда идёт атака. tmp закрыт на исполнение скриптов у пользователей нет привелегий никаких таких. Однозначно идёт атака через сайт, точнее через вир. домен на котором есть сайт с дырой. только как именно узнать через какой именно непонятно. есть номер процесса apach который грузит систему, но какой домен он обрабатывает непонятно.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "сервер на freebsd и бесплатные движки"	+/–
	Сообщение от parad (ok) on 25-Апр-12, 15:24
	> по  IP куда идёт атака. резолви днс. + содержимое post запросов не логируются. > tmp закрыт на исполнение скриптов там не обязательно скрипты должны быть - ищются следы, которые могут быть как скриптами так и нет. > именно узнать через какой именно непонятно. есть 2 варианта: - включить логирование пидов, и посмотреть какой запрос обрабатывает данный процесс по логу. - в случае неработы первого - программерский: грохнуть в корку этот процесс апача и с помощью gdb посмотреть все что внутрях у него творится на этот момент - весь запрос можно будет вытянуть. > есть номер процесса apach который грузит систему, но какой домен он обрабатывает > непонятно. - если грузит сам апач - зри в сторону самого апача и его модулей - мод -перла, -пхп и пр. тк с цги было бы все иначе. + как выше описал с логированием и коркой.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "сервер на freebsd и бесплатные движки"	+/–
	Сообщение от parad (ok) on 25-Апр-12, 15:35
	вот тебе еще друг по несчастью, может оттуда что почерпнешь: http://www.opennet.dev/openforum/vsluhforumID10/5005.html
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "сервер на freebsd и бесплатные движки"	+/–
	Сообщение от кегна on 25-Апр-12, 23:40
	>[оверквотинг удален] >> изначально не разграничив домены. > доменов 60+ а то и больше там, пользователей около 20, по логам > искал адрес на кого идёт атака с меня, ничего не выдало > по  IP куда идёт атака. > tmp закрыт на исполнение скриптов > у пользователей нет привелегий никаких таких. Однозначно идёт атака через сайт, точнее > через вир. домен на котором есть сайт с дырой. только как > именно узнать через какой именно непонятно. > есть номер процесса apach который грузит систему, но какой домен он обрабатывает > непонятно. lsof -p pid_apache dtrace truss -p pid_apache
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "сервер на freebsd и бесплатные движки"	+/–
	Сообщение от nikulich (ok) on 26-Апр-12, 11:31
	>[оверквотинг удален] >> по  IP куда идёт атака. >> tmp закрыт на исполнение скриптов >> у пользователей нет привелегий никаких таких. Однозначно идёт атака через сайт, точнее >> через вир. домен на котором есть сайт с дырой. только как >> именно узнать через какой именно непонятно. >> есть номер процесса apach который грузит систему, но какой домен он обрабатывает >> непонятно. > lsof -p pid_apache > dtrace > truss -p pid_apache за truss спс , не знал про это. lsof ничего полезного не выдавало в моём случае. Он полезен конечно не выдаёт крайне скудные результаты в этом случае.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	6. "сервер на freebsd и бесплатные движки"	+/–
	Сообщение от arka on 26-Апр-12, 07:48
	> доменов 60+ а то и больше там, пользователей около 20, по логам > искал адрес на кого идёт атака с меня, ничего не выдало > по  IP куда идёт атака. > tmp закрыт на исполнение скриптов > у пользователей нет привелегий никаких таких. Однозначно идёт атака через сайт, точнее > через вир. домен на котором есть сайт с дырой. только как > именно узнать через какой именно непонятно. > есть номер процесса apach который грузит систему, но какой домен он обрабатывает > непонятно. Можно попробовать server status для апача и посмотреть какой урл обрабатывает этот pid
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	8. "сервер на freebsd и бесплатные движки"	+/–
	Сообщение от nikulich (ok) on 26-Апр-12, 11:32
	>[оверквотинг удален] >> искал адрес на кого идёт атака с меня, ничего не выдало >> по  IP куда идёт атака. >> tmp закрыт на исполнение скриптов >> у пользователей нет привелегий никаких таких. Однозначно идёт атака через сайт, точнее >> через вир. домен на котором есть сайт с дырой. только как >> именно узнать через какой именно непонятно. >> есть номер процесса apach который грузит систему, но какой домен он обрабатывает >> непонятно. > Можно попробовать server status для апача и посмотреть какой урл обрабатывает этот > pid сервер статус буду юзать, пробовать спс.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема