BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 12 ] 
Автор Сообщение
 Заголовок сообщения: Уязвимость, процессы
СообщениеДобавлено: Пн 09 фев, 2009 6:32 pm 
Не в сети

Зарегистрирован: Пн 09 фев, 2009 6:22 pm
Сообщения: 6
Здравствуйте,
У нас такая проблема, идет якобы ддос на mysql,
при отлюченном сайте он не останавливается и подозреваем что имеется вирус.

это из top:
227 processes: 2 running, 225 sleeping

когда ддос останавливается пишет примерно такое:
227 processes: 1 running, 225 sleeping

Подскажите, как просмотреть что за два таких running процесса,
можно ли узнать откуда они запускаются, какие нибудь подробности..

Совсем новичок в *nix ос, без помощи очень сложно разобраться.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Уязвимость, процессы
СообщениеДобавлено: Пн 09 фев, 2009 7:20 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5185
Откуда: Москва
mico писал(а):
когда ддос останавливается пишет примерно такое:
227 processes: 1 running, 225 sleeping

Совсем новичок в *nix ос, без помощи очень сложно разобраться.

Один из running процессов это сам top. В таблице все написано - состояния RUN и CPU0, CPU1... означают выполняющийся в данный момент процесс, могу предположить что второй это mysql, apache, либо perl/php (на чем у вас там сайт). При ддос вы бы не обошлись двумя процессами, скорее всего у вас либо висит тяжелый запрос в mysql, либо кривой скрипт.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 09 фев, 2009 7:23 pm 
Не в сети

Зарегистрирован: Сб 26 июн, 2004 2:21 pm
Сообщения: 3567
Откуда: Рига
посмотреть количество сетевых соединений
sockstat -4c


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 09 фев, 2009 8:15 pm 
Не в сети

Зарегистрирован: Пн 09 фев, 2009 6:22 pm
Сообщения: 6
ясно
у нас на сервере один проект, при выключении апача нагрузка не спадает, а только возрастает, такое бывает несколько часов в сутки, всегда в разное время.

через iptables закрывались от внешнего мира, чтобы точно убедиться что не извне идет атака..

текущие данные:
88582 mysql 58 20 0 526M 301M kserel 5 230:34 12.94% mysqld

выполняю
# httpd -k stop
результат:

88582 mysql 58 20 0 526M 301M kserel 5 230:34 90.25% mysqld

снова включаю апач, опять возвращается к пределу от 10 до 15%
--

когда ддос не идет, примерно такое:
88582 mysql 58 20 0 526M 301M kserel 5 230:34 0.5% mysqld


как бы вычислить кто грузит mysql, что за вирус засел на сервере)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 09 фев, 2009 8:19 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5185
Откуда: Москва
в mysql: show processlist


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 09 фев, 2009 8:35 pm 
Не в сети

Зарегистрирован: Пн 09 фев, 2009 6:22 pm
Сообщения: 6
смотрим через mytop - вообще пусто

включал логирование всех запросов - пусто

это при выключенном апаче, при включенном - идут обычные запросы, ничего подозрительного.

странно как-то, нагружен mysql без запросов...

и ещё одно, в это время
~ CPU states: 12.6% user
в штатном режиме до 0.8%, во время дампа базы - до 2% ...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 09 фев, 2009 8:59 pm 
Не в сети

Зарегистрирован: Сб 26 июн, 2004 2:21 pm
Сообщения: 3567
Откуда: Рига
вы может скажете, что у вас за ось? а то iptables линуксовые как бы не в тему...
и ещё раз, если у вас freebsd, то покажите вывод sockstat -4c во время предполагаемого ддоса


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 09 фев, 2009 9:12 pm 
Не в сети

Зарегистрирован: Пн 09 фев, 2009 6:22 pm
Сообщения: 6
5 минут назад закончилось, но думаю это на часов 6, потом снова начнется...


Код:
CPU states:  0.1% user,  0.0% nice,  0.4% system,  0.0% interrupt, 99.4% idle

  PID USERNAME   THR PRI NICE   SIZE    RES STATE  C   TIME   WCPU COMMAND
88582 mysql       57  20    0   526M   314M kserel 5 281:22  0.03% mysqld


====

ось freeBSD 6.3

команда sockstat -4c сейчас показывает только процесы от apacha
при ддосе смотрел, вроде изменений нет.

Код:
# sockstat -4c
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS
apache   httpd      91792 27 tcp4   *.*.*.*:80        85.175.179.162:2575
apache   httpd      91789 27 tcp4   *.*.*.*:80        91.193.174.155:2770
root     sshd       89335 3  tcp4   *.*.*.*:22        92.242.98.130:1469
apache   httpd      88630 27 tcp4   *.*.*.*:80        213.179.232.37:2409
apache   httpd      88629 27 tcp4   *.*.*.*:80        92.39.238.197:1215
apache   httpd      88628 27 tcp4   *.*.*.*:80        62.221.104.32:29199
apache   httpd      88627 27 tcp4   *.*.*.*:80        85.175.103.129:64368
apache   httpd      88625 27 tcp4   *.*.*.*:80        85.175.103.129:64363
apache   httpd      88623 27 tcp4   *.*.*.*:80        195.34.198.23:64501
apache   httpd      88622 27 tcp4   *.*.*.*:80        85.71.37.248:29597
apache   httpd      88621 27 tcp4   *.*.*.*:80        77.235.105.15:4442
apache   httpd      88620 27 tcp4   *.*.*.*:80        92.242.98.130:35111
apache   httpd      88583 27 tcp4   *.*.*.*:80        84.52.52.251:1491
apache   httpd      86372 27 tcp4   *.*.*.*:80        77.235.104.144:13485
apache   httpd      86371 27 tcp4   *.*.*.*:80        213.33.205.134:63096
apache   httpd      86369 27 tcp4   *.*.*.*:80        217.66.24.6:1674
apache   httpd      86368 27 tcp4   *.*.*.*:80        93.85.21.157:1270
apache   httpd      86352 27 tcp4   *.*.*.*:80        213.149.122.96:50412
apache   httpd      86347 27 tcp4   *.*.*.*:80        83.69.139.6:2596
apache   httpd      86340 27 tcp4   *.*.*.*:80        62.182.86.102:4239
apache   httpd      86317 27 tcp4   *.*.*.*:80        94.179.156.59:2152
apache   httpd      76763 27 tcp4   *.*.*.*:80        93.183.192.151:1550
apache   httpd      76758 27 tcp4   *.*.*.*:80        213.179.232.37:2427
apache   httpd      76757 27 tcp4   *.*.*.*:80        95.133.228.157:3446
apache   httpd      76754 27 tcp4   *.*.*.*:80        82.207.14.254:4207
apache   httpd      76750 27 tcp4   *.*.*.*:80        195.216.164.250:4364
apache   httpd      76749 27 tcp4   *.*.*.*:80        212.115.225.42:56168
apache   httpd      76747 27 tcp4   *.*.*.*:80        85.175.103.129:64366
apache   httpd      76746 27 tcp4   *.*.*.*:80        217.66.24.6:2776
apache   httpd      76743 27 tcp4   *.*.*.*:80        194.33.189.144:1636
apache   httpd      76742 27 tcp4   *.*.*.*:80        85.233.93.27:1855
apache   httpd      76740 27 tcp4   *.*.*.*:80        217.66.24.6:2257
apache   httpd      76739 27 tcp4   *.*.*.*:80        91.210.144.3:1351
apache   httpd      76737 27 tcp4   *.*.*.*:80        88.204.219.156:4882
apache   httpd      76735 27 tcp4   *.*.*.*:80        91.210.144.3:1354
apache   httpd      76726 27 tcp4   *.*.*.*:80        217.66.24.6:2250
apache   httpd      76722 27 tcp4   *.*.*.*:80        78.36.7.56:4160
apache   httpd      76721 27 tcp4   *.*.*.*:80        84.52.52.251:1492
apache   httpd      76719 27 tcp4   *.*.*.*:80        78.36.7.56:4158
apache   httpd      76716 27 tcp4   *.*.*.*:80        92.242.98.130:35108
apache   httpd      76713 27 tcp4   *.*.*.*:80        92.242.98.130:35110
apache   httpd      76710 27 tcp4   *.*.*.*:80        84.52.31.6:3072
apache   httpd      76709 27 tcp4   *.*.*.*:80        195.34.198.21:3277
apache   httpd      76704 27 tcp4   *.*.*.*:80        217.66.24.6:2778
apache   httpd      76701 27 tcp4   *.*.*.*:80        195.34.198.21:3279
apache   httpd      76696 27 tcp4   *.*.*.*:80        217.66.24.6:2255
apache   httpd      76692 27 tcp4   *.*.*.*:80        93.183.192.151:1548
apache   httpd      76691 27 tcp4   *.*.*.*:80        83.239.75.13:4350
apache   httpd      76684 27 tcp4   *.*.*.*:80        83.239.75.13:4305


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 10 фев, 2009 12:17 am 
Не в сети

Зарегистрирован: Вс 29 апр, 2007 9:07 am
Сообщения: 221
Откуда: Тульская область
однако интересный у вас ддос, если при выключенном апаче у вас нагружается мускуль ....

посмотрите, какой у вас порт слушает мускуль, а затем закрыт он у вас фаерволом с наружи или нет ...

проверьте, как тут уже советовали, соединения с мускулем ...

если все нормально, то скорее всего это не ддос, а кривое скриптописательство .... пинайте разработчика, просто так само по себе ни одно приложение работать не будеь, оно должно выполнять задачу ....

_________________
не плыви по течению, не плыви против течения, а плыви туда, куда тебе надо! (Козьма Прутков)

Не бить челом веку своему, а быть челом века своего - быть ЧЕЛОВЕКОМ (с) А.П. Чехов


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 10 фев, 2009 4:15 am 
Не в сети

Зарегистрирован: Пн 09 фев, 2009 6:22 pm
Сообщения: 6
10 минут назад как начался опять этот странный ддос

запустил команду sockstat -4c
вот что увидел, нормально ли это?

Код:
root     sshd       97584 3  tcp4   *.*.*.*:22        92.242.98.130:46197
root     sshd       97506 3  tcp4   *.*.*.*:22        92.242.98.130:46197

странно, чего их два, одного убил..

---

подскажите как закрыть порт mysql (33060) снаружи используя pf или pwf?

p.s. поставил ещё mod_security (анти скул инъекции и xss) и конечно же непомогло против моего любимого ддоса.

убрал phpmyadmin - обнаружены раскрытие путей и другие мелочи..

все, остался только основной проект и сервер чист, а хотя это мало важно, если при откл. апаче становится ещё и хуже..


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 11 фев, 2009 12:46 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 13 май, 2008 12:47 pm
Сообщения: 1440
Откуда: subnets.ru
а tcpdump`ом послушать порт 3306 ?
кто нить к нему долбится через внешний интерфейс ?

ну и да, порт 3306 следует "прибить" фаиром, что бы только сам серв или другие твои сервера могли к нему обращаться, а всех остальных нафиг

Код:
ipfw add XXX allow ip from me to me
ipfw add XXX deny tcp from any to me 3306

_________________
Как НЕ нужно писать: "Спасибо, решил проблему" и все.
Как НУЖНО писать: "спасибо" и объяснять КАК в итоге проблема была решена.
Золотое правило: Помогли тебе - помоги другим.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 11 фев, 2009 6:18 pm 
Не в сети

Зарегистрирован: Пн 09 фев, 2009 6:22 pm
Сообщения: 6
спасибо всем, проблема решена.
закрытие порта mysql фаиром ipfw помогло.

тему можно закрывать.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 12 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика