Fórum Ubuntu CZ/SK

Ostatní => Ubuntu Server => Téma založeno: zdenek_vz800 07 Dubna 2014, 16:28:34

Název: Opět vytížení serveru :-)
Přispěvatel: zdenek_vz800 07 Dubna 2014, 16:28:34

Server sice na 13.04 pracuje jak ma, ale ted sem nasel proces s command rus3, který neumerne 40-90% vytezuje server - podle uzivatele jsem nasel prislusne skripty, které když jsem ukoncil, tak ok - jen netusim co znamenaly, tipoval bych na pokus o nabourani mysql...

zde skripty:

sh -c ./rus3 --url=stratum+tcp://stratum.hashfaster.com:3333 --userpass=sekip.2:2 2>&1 3>&1

./rus3 --url=stratum+tcp://stratum.hashfaster.com:3333 --userpass=sekip.2:2

Název: Re:Opět vytížení serveru :-)
Přispěvatel: Petr Merlin Vaněček 07 Dubna 2014, 16:42:40

Ale kdepak, to jen na tom serveru někdo těžil bitcoiny ...

Název: Re:Opět vytížení serveru :-)
Přispěvatel: zdenek_vz800 07 Dubna 2014, 16:47:00

aha - mohu se zeptat jak, prip. jak priste tomu zabranit? staci procesy kill-nout?

Název: Re:Opět vytížení serveru :-)
Přispěvatel: Petr Merlin Vaněček 07 Dubna 2014, 16:52:08

No to asi ne, bylo by dobré dohledat, kde se tam ty soubory vzaly a jak.
Viditelně je někde v systému díra, když si tam kdokoliv cokoliv nahraje a spustí.

Mohl by napovědět majitel procesu, pod kterým to běželo, datum vytvoření těch procesů a pak logy služeb, které by za to potenciálně mohly být zodpovědné tj. ftp, apache apod.

Název: Re:Opět vytížení serveru :-)
Přispěvatel: zdenek_vz800 07 Dubna 2014, 16:57:12

bylo to pod uživatelem www-data - ale to je obecnej pro ftp pristupy - navis servery stratum.hashfaster.com neznam - zkusim dohledat primo ty skripty a uvidime

Název: Re:Opět vytížení serveru :-)
Přispěvatel: Petr Merlin Vaněček 07 Dubna 2014, 17:11:46

Na ten server se to odesílalo, podle toho se nic nedohledá.
Ani scripty pravděpodobně nepomohou.

A pokud je www-data shodný pro ftp a www server, hledal bych v logu těhle služeb.

Název: Re:Opět vytížení serveru :-)
Přispěvatel: zdenek_vz800 07 Dubna 2014, 17:17:35

takze pomoci

locate rus3

sem nasel soubory rus3 a rus6 v adresari /var/tmp, takze sem je smazal a ted ještě zjistit jak se tam dostali...

Název: Re:Opět vytížení serveru :-)
Přispěvatel: Armus69 11 Dubna 2014, 17:34:33

zneužití neošetřeného tmp adresáře, server bude pravděpodobně rootlý, patrně nejjednodušší bude zkontrolovat data zazálohovat konfiguraci a celý server smazat a reinstalovat. Pak si něco načíst o bezpečnosti ftp a www služeb. Pokud je proces spuštěn pod www-data dostal útočník jeho shell, popřípadě zneužil povolenou fci php shell exec. 

Název: Re:Opět vytížení serveru :-)
Přispěvatel: zdenek_vz800 11 Dubna 2014, 19:39:48

s reinstalaci bude dost práce, ale asi nic jiného nezbude :-(

Název: Re:Opět vytížení serveru :-)
Přispěvatel: Petr Merlin Vaněček 11 Dubna 2014, 21:13:51

Než to uděláš, projdi si ty logy ftp a www, kde se uploaduje tenhle soubor.
Jedna věc je chybu napravit, druhá se z ní poučit. Určitě to tam někde bude ležet.

Název: Re:Opět vytížení serveru :-)
Přispěvatel: zdenek_vz800 12 Dubna 2014, 13:49:14

tak prozatím sem smazal skripty, zablokoval uzivatele a k reinstalaci prikrocim az jestli se to bude opakovat - pak logy prohlednu, prip. napisi kde byl problém - ted se zda ze to jede...