Возможный дубликат:
Мой сервер был взломан в АВАРИИ
Я не администратор сервера и у меня очень мало опыта "отладки" сервера. Но, глядя на мои файлы журналов, кажется, что меня взламывают.
Но я понятия не имею, что мне делать: - /
Тип сервера: VPS
ОС: Linux 2.6.18
Сервер: Centos 5
Интерфейс администратора: Parallels Plesk 9
Текущее использование памяти: 200 из 1024.
Файл журнала ошибок 10 июля
[Sat Jul 09 15:37:38 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/web
[Sat Jul 09 15:37:39 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/php-my-admin
[Sat Jul 09 15:37:39 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/websql
[Sat Jul 09 15:37:40 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin
[Sat Jul 09 15:37:40 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin
[Sat Jul 09 15:37:40 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2
[Sat Jul 09 15:37:41 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/php-my-admin
[Sat Jul 09 15:37:41 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.2.3
[Sat Jul 09 15:37:41 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.2.6
[Sat Jul 09 15:37:42 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.1
[Sat Jul 09 15:37:42 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.4
[Sat Jul 09 15:37:43 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.5-rc1
[Sat Jul 09 15:37:43 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.5-rc2
[Sat Jul 09 15:37:43 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.5
[Sat Jul 09 19:15:14 2011] [notice] mod_fcgid: process /var/www/vhosts/mysite.no/httpdocs/index.php(9512) exit(server exited), terminated by calling exit(), return code: 0
[Sat Jul 09 20:01:34 2011] [error] [client 93.158.147.8] File does not exist: /var/www/vhosts/default/htdocs/robots.txt
[Sat Jul 09 21:09:18 2011] [notice] mod_fcgid: process /var/www/vhosts/mysite.no/httpdocs/index.php(18166) exit(normal exit), terminated by calling exit(), return code: 0
[Sat Jul 09 21:09:18 2011] [warn] mod_fcgid: cleanup zombie process 18166
Файл журнала ошибок августа
[Sun Jul 31 03:34:54 2011] [warn] Init: SSL server IP/port conflict: default-217-170-195-78:443 (/etc/httpd/conf.d/zz010_psa_httpd.conf:78) vs. horde.webmail:443 (/etc/httpd/conf.d/zzz_horde_vhost.conf:41)
[Sun Jul 31 03:34:54 2011] [warn] Init: You should not use name-based virtual hosts in conjunction with SSL!!
[Sun Jul 31 03:34:54 2011] [warn] WARNING: Attempt to change ServerLimit ignored during restart
[Wed Aug 03 18:54:45 2011] [notice] mod_fcgid: server /var/www/vhosts/mysite.no/httpdocs/index.php(10098) started
[Wed Aug 03 18:54:46 2011] [notice] mod_fcgid: too much /var/www/vhosts/mysite.no/httpdocs/index.php process(current:8, max:8), skip the spawn request
[Sun Jul 31 12:20:29 2011] [warn] mod_fcgid: cleanup zombie process 17543
[Thu Aug 04 07:38:57 2011] [error] [client 188.138.88.210] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
Я немного погуглил, чтобы увидеть, есть ли какие-нибудь «руководства» к тому, что мне следует делать. Но я только что нашел много форумов с людьми в тех же ситуациях, что и я, и нет четкого ответа.
Вероятно, нет четкого ответа, но я почти уверен, что есть несколько шагов, о которых должен знать каждый.
Что мне нужно сделать сейчас, чтобы меня не взломали?
Не думаю, что вас взламывают, кто-то просто проверяет замки.
Я бы заблокировал 72.46.146.130
на вашем брандмауэре (или через локальный брандмауэр), а затем приступайте к проверке ваших замков самостоятельно (посмотрите здесь и снова на Безопасность.SE За советом).
Вы можете отменить правило брандмауэра позже на досуге - вы также можете связаться с людьми, нарушающими правила в VersaWeb (Контактная информация в Whois для IP) и сообщите о происшествии, если чувствуете себя особенно услужливым / педантичным.
@Iain прокомментировал, что это было автоматическое сканирование, и я не совсем уверен, прав он или нет, но я действительно думаю, что стоит быть осторожными, так как ядерная обработка сайта и его восстановление - это немного трудоемко если это просто сканирование.
Во-первых, у вас есть резервные копии? Если это так, вы можете попробовать сравнить / sbin и / bin и содержимое других каталогов вашей резервной копии с производственной средой, чтобы найти изменения.
Установлены ли у вас программы проверки целостности файлов? Это бесполезно, если вас взломали, но если нет, подумайте об установке такой системы, как tripwire или samhain. Правильно настроенные, они могут отправлять вам по электронной почте уведомления об изменении файлов или подозрительной активности. (ПРИМЕЧАНИЕ - это требует обслуживания. Когда вы делаете обновления системы, обновляйте их базы данных соответственно)
Проверьте систему с помощью chkrootkit и rkhunter.
Следите за своей системой на предмет необычной сетевой активности. Используйте программы вроде ntop; получить статистику о «нормальном» поведении вашей системы, чтобы вы знали, когда что-то не так или что нужно проверить. Проверьте необычные открытые порты.
Просканируйте свою систему с помощью clamscan, чтобы увидеть, не вызывает ли она каких-либо обычных признаков вредоносного ПО.
А если у вас нет резервных копий ... начните их делать!
В настоящее время я бы посмотрел в Google, чтобы узнать о подобном поведении, которое вы видите в журналах, и посмотреть, писали ли об этом другие и сочли это просто сканированием. Если ваша система не действующий забавно, и инструменты сканирования вредоносных программ не находят ничего, что вы наверное не нужно беспокоиться (хотя, если он был взломан, параноидальный ответ - не доверять своим двоичным файлам ...). Если вы установили через дистрибутив, который использует упаковщик, возможно, можно будет проверить ваши двоичные файлы на соответствие упаковщику, чтобы убедиться, что все совпадает ... если контрольные суммы совпадают, все должно быть в порядке.
Что заставляет вас думать, что вас взломали? В журналах нет никаких указаний на это.
Они просто показывают, что кто-то пытался получить доступ к файлам, которых нет на вашем сервере.
И они показывают, что у вас неправильно настроенный веб-сервер с модулем cgi, вызывающим зомби-процессы и умирающие процессы.
Это просто бот, который ищет установки phpMyAdmin - в более старых версиях есть ошибки, которые можно использовать. Мы все время видим похожие модели на наших серверах. Вас не взломали, но вы должны следить за тем, чтобы все установки phpMyAdmin у вас были в актуальном состоянии.
РЕДАКТИРОВАТЬ: Как отмечали другие, в журналах указано, что это просто сканирование. Я оставлю это здесь как краткое руководство по восстановлению после взлома.
Вы должны выяснить, как это произошло. Вероятно, это был какой-то небезопасный код. Попросите кого-нибудь помочь вам, если вам нужно, но просто перестройка гарантирует, что это произойдет снова.
РЕДАКТИРОВАТЬ: Как отмечали другие, в журналах указано, что это просто сканирование. Я оставлю это здесь как краткое руководство по восстановлению после взлома.
Мой план хакерской катастрофы:
dd
-копия жесткого диска сервераВыключить сервер (VPS) может быть сложно, поэтому сделайте быструю резервную копию и уничтожьте ее огнем.