informace o spustenem procesu

[Cepela]

Ahoj, mam velkou prosbu, potrebuji zjistit co nejvice informaci o spustenem procesu. Na stroji se mi objevil proces

Kód: [Vybrat]

www-data 20260 73.3  0.0  63376  2320 ?        Ssl  Nov08 678:24 ./m64 -o stratum+tcp://mine.pool-x.eu:9000 -u gvsall.64 -p 64 --algo scrypt --no-longpoll -B Ocividne se tam nekdo naboural a tenhle "balast" tam nahodil. Nedokazu ale zjistit jak. locate m64 nic nenajde, v crontab taky nic. Po restartu to po chvilce opet naskoci. Vzhledem k tomu, ze to bezi pod uzivatelem www-data, tak predpokladam, ze se to tam dostalo pres nej. Takze tedka hledam jak se toho zbavit a samozrejme i jak tomu zabranit pro priste. Lze nejak omezit uzivatel www-data (zadne opravneni by ale mit nemel). Moc diky

[Petr Merlin Vaněček]

Hmhm ... http://pool-x.eu/about ... http://pool-x.eu/gettingstarted
Tam bych hledal informace ...

Příkaz locate vyhledává ve vlastní DB, takže buď před spuštěním locate spustit sudo updatedb, nebo find / -iname m64*

[Cepela]

nutnost updatedb samozrejme znam. Uz jsem tu potvoru nasel, je v /tmp. Zajimave je, ze locate to nenaslo... Ted ale otazka jak je to spousteno po startu a jak to, jestli to tam nekdo propasoval pres stranky, ze to ma pristup do /tmp a ne jen do /var/www.... Nechci to jen smazat, radeji bych zjistil co nejvic informaci abych to mohl zabezpecit.

[Petr Merlin Vaněček]

/tmp je přístupné vždy (dalo by se to explicitně zakázat, ale ...), soubory se tam ukládají po uploadu (v době průběhu scriptu, pak se mažou), tedy bych hledal script (vyhledat si poslední změněné soubory?), který provede upload a spustí soubor.

To spuštění pravděpodobně nebude po startu, ale ve chvíli, kdy někdo na www přistoupí a script spustí.

[Cepela]

Tak z toho trochu nejsem, fulltextove jsem prohledal cely stroj na ruzne casti prikazu a jedine co jsem nasel je zaznam v error logu apache viz priloha... Vubec netusim jak to tam dostali a jak to spustili. Trochu me to znepokojuje, protoze bych to rad nejak zabezpecil, aby se to znovu neopakovalo... Orezal jsem to o nekolik tisic radku, ktere se v podstate stale opakovali a nebyly zajimave.

[příloha smazaná administrátorem]

[Petr Merlin Vaněček]

Tak dle logu je to díra ve WP. Buď starý WP, blbě nastavená práva (akismet) nebo bug, tedy potřeba reportovat.
Hledal bych soubor ins, minerd, 32.tar.gz, 64.tgz ...

Aha, tak pokud se dobře dívám, tak se ten soubor nespouští ani z lokálního stroje, chytré
Ten soubor ins bude jediný, který se stará o spuštění.

[Cepela]

To IP 190.210.190.155 neni moje, z toho to spis spousti, nebo stahuji... Ale WP tam take bezi, ale ten je povolen jen z lokalnich IP.

[Petr Merlin Vaněček]

Šel bych po starých známých aplikacích, které takovéto věci umožnují, WP, PHPMyAdmin, Joomla ...

[Cepela]

Ze je joomla jeden velkej deravej prusvih vim uz bohuzel dele z vlastni zkusenosti, takze jsem ji skoro vsude nahradil Drupalem, nebo WP, u kterych jsem se domnival, ze jsou na tom lepe, ale PHPmyadmin me prekvapuje, ten tam samozrejme bezi take. Jen pro zajimavost, jak je na tom treba ISPConfig? Takze jedina moznost jak tomu ne predejit, ale alespon to znacne omezit je iptables s omezenim jen na ceske IP. Jiz to takle na jednom stroji nasazene mam, je to asi 1800 radku a zatim to funguje na 100%. Na druho stranu jsou weby omezeny jen pro pristup z CR, coz me vypeklo, kdyz jsem byl na dovolene.

[Petr Merlin Vaněček]

Myslím, že by mohlo v první chvíli stačit aktualizovat na poslední verze jednotlivých produktů a zkontrolovat práva zápisu, zbytečně moc bych jim nedával.

A ano, PHPMyAdmin v určitých verzích je bohužel jedna z velkých děr umožňující spuštění vlastního kódu.

Co zkusit hledat soubory změněné v x posledních dnech (resp. +- v době, kdy se prvně útok objevil)?

[beer]

Já bych tam nechal, jen bych změnil uživatelské jméno a heslo a těžil bych sám