В error_log Apache отображаются такие строки:
--- snip ---
which: no ruby in (/sbin:/usr/sbin:/bin:/usr/bin)
which: no locate in (/sbin:/usr/sbin:/bin:/usr/bin)
which: no suidperl in (/sbin:/usr/sbin:/bin:/usr/bin)
which: no get in (/sbin:/usr/sbin:/bin:/usr/bin)
which: no fetch in (/sbin:/usr/sbin:/bin:/usr/bin)
which: no links in (/sbin:/usr/sbin:/bin:/usr/bin)
which: no lynx in (/sbin:/usr/sbin:/bin:/usr/bin)
which: no lwp-mirror in (/sbin:/usr/sbin:/bin:/usr/bin)
which: no lwp-download in (/sbin:/usr/sbin:/bin:/usr/bin)
which: no kav in (/sbin:/usr/sbin:/bin:/usr/bin)
--- end ---
Архитектура:
Интернет -> Балансировщик нагрузки -> Varnish -> Apache
За балансировщиком нагрузки стоит несколько веб-серверов, и я проверил хотя бы один из них с помощью rkhunter (ссылка на сайт) и не нашел ничего подозрительного.
Версии:
Означает ли это, что кто-то выполнил команду через Apache? Как такое могло случиться?
Огромное спасибо.
Совершенно очевидно, что вас взломали. Упомянутые команды могут быть интересны хакеру, обнаружившему уязвимость, позволяющую выполнять команды от имени пользователя apache (возможно, из-за уязвимости веб-приложения). Например, ссылки и lynx позволят злоумышленнику загрузить дополнительные программы, как и lwp- *. Эти команды никогда не будут выполнены законным веб-приложением, поэтому оно должно быть злоумышленником.
Видеть эта тема для атаки с аналогичной сигнатурой - это фактически повышение привилегий.
Во-первых, перевести систему в автономный режим - компромиссное решение, но, поскольку вы не знаете, насколько полностью принадлежит система, это безопасный вариант.
Вы должны попытаться узнать, когда вас взломали - например, восстановить резервные копии, сделанные 4 недели назад, в отдельную систему и сравнить с резервной копией, сделанной вчера вечером. Это должна быть резервная копия всей машины, так как злоумышленник мог попасть в root.
Как только вы узнаете, когда вас взломали, вы можете выполнить восстановление из резервной копии, которая была сделана до атаки (но при этом оставить систему в автономном режиме, чтобы ее нельзя было использовать снова). Уязвимость все еще существует, поэтому злоумышленник может снова проникнуть внутрь, если система была в сети - поэтому вам также необходимо быстро найти и закрыть уязвимость - важна полная резервная копия машины с прошлой ночи, чтобы вы могли узнать, как они попали.
Видеть Как мне поступить с взломанным сервером? для более полных советов, как восстановиться после взлома.
Удачи.