BSDPORTAL.RU
http://bsdportal.ru/

хакнули сервер
http://bsdportal.ru/viewtopic.php?f=23&t=25391
Страница 1 из 1

Автор:  nikulich [ Ср 25 апр, 2012 12:41 pm ]
Заголовок сообщения:  хакнули сервер

Сеть сервачёт используется под хостинг, на нём примерно 60 сайтов , сайты на разных движках (ДЛЕ, джумала и т.д. )
переодически с него идёт флуд по UDP на разные сайты, т.е. какой то из сайтов ломанули.
как определить какой ?
при флуде определённые чилд процессы естественно грузят проц сервера на 100%, но с какого именно сайта это делают непонятно.
Как определить в каком из сайтов на серваке дыра через которую это делают ?

Автор:  Shweik [ Ср 25 апр, 2012 2:29 pm ]
Заголовок сообщения: 

Ну и какая тут OC? Г-код Г-сайтов на Г-хостинге Г-администриуемый хммм Г-админом никоим образом не влияет на безопастность ОС.
С тем же успехом ты можешь отфорвардить это бессмысленное послание
создателю php. :cry:

Автор:  OldMan [ Ср 25 апр, 2012 4:12 pm ]
Заголовок сообщения:  Re: хакнули сервер

Привет.

А с LogLevel-ом апача игрался. Может LogLevel mod_php5:debug? Апач какой у тебя? Ещё, есть программка "lsof", может она поможет пролить свет.

nikulich писал(а):
Сеть сервачёт используется под хостинг, на нём примерно 60 сайтов , сайты на разных движках (ДЛЕ, джумала и т.д. )
переодически с него идёт флуд по UDP на разные сайты, т.е. какой то из сайтов ломанули.
как определить какой ?
при флуде определённые чилд процессы естественно грузят проц сервера на 100%, но с какого именно сайта это делают непонятно.
Как определить в каком из сайтов на серваке дыра через которую это делают ?

Автор:  olexande [ Вт 18 сен, 2012 11:10 am ]
Заголовок сообщения: 

Как организовано разделение между сайтами? Просто средствами апача?
Используеются-ли jail?

Последний сам сейчас постепенно щупаю ...

По идее если отдельные сайты не по jail - то переведя оные в них, сможете разделить сайты "по отдельным системам" и уже в момент появления "флуда" отследить какой именно из сайтов/jail проломали ...

Автор:  alaz [ Вт 18 сен, 2012 10:54 pm ]
Заголовок сообщения:  Re: хакнули сервер

nikulich писал(а):
Сеть сервачёт используется под хостинг, на нём примерно 60 сайтов , сайты на разных движках (ДЛЕ, джумала и т.д. )
переодически с него идёт флуд по UDP на разные сайты, т.е. какой то из сайтов ломанули.
как определить какой ?
при флуде определённые чилд процессы естественно грузят проц сервера на 100%, но с какого именно сайта это делают непонятно.
Как определить в каком из сайтов на серваке дыра через которую это делают ?


шелл залили скорее всего
пройдись по eval - щас очень модно

как не забавно - пройдись clamav , находит много шелов
99% что какой нить /images/ имеет 777

ну и запрети конечно udp кроме 53 keep-state и куда надо

Автор:  alaz [ Вт 18 сен, 2012 10:56 pm ]
Заголовок сообщения: 

olexande писал(а):
Как организовано разделение между сайтами? Просто средствами апача?
Используеются-ли jail?

Последний сам сейчас постепенно щупаю ...

По идее если отдельные сайты не по jail - то переведя оные в них, сможете разделить сайты "по отдельным системам" и уже в момент появления "флуда" отследить какой именно из сайтов/jail проломали ...


имя 10тки-100ни и тд сайтов смешно юзать джейл

;)

впрочем еще забавнее надеятся на safe-mode

Автор:  olexande [ Ср 19 сен, 2012 10:35 am ]
Заголовок сообщения: 

ок, а что - "не смешно"?

ЗЫЖ А nikulich создал тему и пропал :(

Автор:  alaz [ Ср 19 сен, 2012 7:47 pm ]
Заголовок сообщения: 

olexande писал(а):
ок, а что - "не смешно"?

ЗЫЖ А nikulich создал тему и пропал :(


на мой взгляд по джейлу на сайт это чрезмерно ресурсоемко.
если сайтов много то либо php chroot либо простой чрут
ну и само сабой расстановка нормальных прав и выключение обработчиков пхп в /upload , /images и тп

я правда не админил сервера с 50~ сайтами
либо 1-5 либо > 100

возможно 60 джейлов это и вариант ;)

Автор:  olexande [ Чт 20 сен, 2012 2:52 pm ]
Заголовок сообщения: 

На jail'ы теоретически можно временно перевести сайты, и это поможет определить проломанный ...

chroot как-то даст возможность определить, "кто флудит"?...

Опять-же ТС ни чего не написал о том, что и как у него настроено/организовано/что с ресурсами ...

Автор:  alaz [ Чт 20 сен, 2012 7:56 pm ]
Заголовок сообщения: 

olexande писал(а):
На jail'ы теоретически можно временно перевести сайты, и это поможет определить проломанный ...

chroot как-то даст возможность определить, "кто флудит"?...

Опять-же ТС ни чего не написал о том, что и как у него настроено/организовано/что с ресурсами ...



там специфичная вещь - думаю, чтоб понять кто флудит, достаточно будет отключить socket* в пхп и смотреть еррорлоги ;)

а тс пропал, может он забыл скрипт какой то - он и флудил
а щас вспомнил :)

Автор:  Katkind [ Чт 21 фев, 2013 5:15 pm ]
Заголовок сообщения: 

Цитата:
на мой взгляд по джейлу на сайт это чрезмерно ресурсоемко.
если сайтов много то либо php chroot либо простой чрут
ну и само сабой расстановка нормальных прав и выключение обработчиков пхп в /upload , /images и тп

я правда не админил сервера с 50~ сайтами
либо 1-5 либо > 100

возможно 60 джейлов это и вариант


Вот с этим я тоже согласен .

Автор:  softsec [ Вс 24 мар, 2013 1:17 pm ]
Заголовок сообщения: 

Если шел залит, то имеет смысл посмотреть текущие соединения.
И через htaccess блокировать сайт и смотреть когда прервется соединение.
Ну как вариант поиска шела.

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/