Autor Téma: Opět vytížení serveru :-) (Přečteno 2993 krát)

zdenek_vz800 · « **kdy:** 07 Dubna 2014, 16:28:34 »

Server sice na 13.04 pracuje jak ma, ale ted sem nasel proces s command rus3, který neumerne 40-90% vytezuje server - podle uzivatele jsem nasel prislusne skripty, které když jsem ukoncil, tak ok - jen netusim co znamenaly, tipoval bych na pokus o nabourani mysql...

zde skripty:

sh -c ./rus3 --url=stratum+tcp://stratum.hashfaster.com:3333 --userpass=sekip.2:2 2>&1 3>&1

./rus3 --url=stratum+tcp://stratum.hashfaster.com:3333 --userpass=sekip.2:2

Petr Merlin Vaněček · « **Odpověď #1 kdy:** 07 Dubna 2014, 16:42:40 »

Ale kdepak, to jen na tom serveru někdo těžil bitcoiny ...

zdenek_vz800 · « **Odpověď #2 kdy:** 07 Dubna 2014, 16:47:00 »

aha - mohu se zeptat jak, prip. jak priste tomu zabranit? staci procesy kill-nout?

Petr Merlin Vaněček · « **Odpověď #3 kdy:** 07 Dubna 2014, 16:52:08 »

No to asi ne, bylo by dobré dohledat, kde se tam ty soubory vzaly a jak.
Viditelně je někde v systému díra, když si tam kdokoliv cokoliv nahraje a spustí.

Mohl by napovědět majitel procesu, pod kterým to běželo, datum vytvoření těch procesů a pak logy služeb, které by za to potenciálně mohly být zodpovědné tj. ftp, apache apod.

zdenek_vz800 · « **Odpověď #4 kdy:** 07 Dubna 2014, 16:57:12 »

bylo to pod uživatelem www-data - ale to je obecnej pro ftp pristupy - navis servery stratum.hashfaster.com neznam - zkusim dohledat primo ty skripty a uvidime

Petr Merlin Vaněček · « **Odpověď #5 kdy:** 07 Dubna 2014, 17:11:46 »

Na ten server se to odesílalo, podle toho se nic nedohledá.
Ani scripty pravděpodobně nepomohou.

A pokud je www-data shodný pro ftp a www server, hledal bych v logu těhle služeb.

zdenek_vz800 · « **Odpověď #6 kdy:** 07 Dubna 2014, 17:17:35 »

takze pomoci

locate rus3

sem nasel soubory rus3 a rus6 v adresari /var/tmp, takze sem je smazal a ted ještě zjistit jak se tam dostali...

Armus69 · « **Odpověď #7 kdy:** 11 Dubna 2014, 17:34:33 »

zneužití neošetřeného tmp adresáře, server bude pravděpodobně rootlý, patrně nejjednodušší bude zkontrolovat data zazálohovat konfiguraci a celý server smazat a reinstalovat. Pak si něco načíst o bezpečnosti ftp a www služeb. Pokud je proces spuštěn pod www-data dostal útočník jeho shell, popřípadě zneužil povolenou fci php shell exec.

zdenek_vz800 · « **Odpověď #8 kdy:** 11 Dubna 2014, 19:39:48 »

s reinstalaci bude dost práce, ale asi nic jiného nezbude :-(

Petr Merlin Vaněček · « **Odpověď #9 kdy:** 11 Dubna 2014, 21:13:51 »

Než to uděláš, projdi si ty logy ftp a www, kde se uploaduje tenhle soubor.
Jedna věc je chybu napravit, druhá se z ní poučit. Určitě to tam někde bude ležet.

zdenek_vz800 · « **Odpověď #10 kdy:** 12 Dubna 2014, 13:49:14 »

tak prozatím sem smazal skripty, zablokoval uzivatele a k reinstalaci prikrocim az jestli se to bude opakovat - pak logy prohlednu, prip. napisi kde byl problém - ted se zda ze to jede...

Autor Téma: Opět vytížení serveru :-) (Přečteno 2993 krát)

zdenek_vz800

Opět vytížení serveru :-)

Petr Merlin Vaněček

Re:Opět vytížení serveru :-)

zdenek_vz800

Re:Opět vytížení serveru :-)

Petr Merlin Vaněček

Re:Opět vytížení serveru :-)

zdenek_vz800

Re:Opět vytížení serveru :-)

Petr Merlin Vaněček

Re:Opět vytížení serveru :-)

zdenek_vz800

Re:Opět vytížení serveru :-)

Armus69

Re:Opět vytížení serveru :-)

zdenek_vz800

Re:Opět vytížení serveru :-)

Petr Merlin Vaněček

Re:Opět vytížení serveru :-)

zdenek_vz800

Re:Opět vytížení serveru :-)