Сървърът ли е хакнат

[mIRCata]

Сутринта като дойдох на работа, колегите от офиса ми казаха, че сървърът на фирмата не работи. Т.е MySQL и Firebird не отговаряли.

Реших да погледна и видях, че процесите са спрени. След като ги пуснах, излезе, че и пощата не работи. (qmail)

При пускане на PS показва следното нещо за пощата:

readproctitle service errors: ...not exist?svscan: 
warning: unable to stat qmail-smtpd: file does not exist?svscan:
warning: unable to stat qmail-send: file does not exist?svscan:
warning: unable to stat qmail-smtpd: file does not exist?svscan:
warning: unable to stat qmail-send: file does not exist?svscan:
warning: unable to stat qmail-smtpd: file does not exist?svscan:
warning: unable to stat qmail-send: file does not exist?

 

Докато гледах с top какво върви ми направи впечатление, че ъптайма на сървъра е 9 часа.

А беше над 400 дни, което ме наведе на мисълта, че е рестартирана машината.

 

last -20 показа нещо много странно. Имаше няколко връзки към фтп-то, след което са следните 2 реда:

reboot   system boot  2.4.31		   Tue Jun 19 00:05		  (08:47)
***,q<** **m*X<y****i *****F******X*** Sun Mar 29 06:30 - crash (-15660+-13:

 

На мен това ми прилича като на заличаване на ред от лога. Като, че ли някой е влезнал в машината, забърсал е лога, правил е каквото е правил и е рестартирал.

 

Човека, който администрира сървъра е в Германия.

Аз имам минимални познания по Linux, а администрирането ми е клонящо към 0-та.

Може ли да ми дадете съвети какво мога да направя за да проверя дали нещо е променено, намазано.

Дистрибуцията е Slackware 10.1.

[Godfather]

Много е трудно да се дават съвети от разстояние в подобен случай. Първо погледни дали всичко по хардуера е наред и най-вече файловите системи. Прегледай подробно изхода на командата dmesg, както и всички странни съобщения в /var/log/messages. Бутвай от някакъв rescue диск и направи fsck на файловите системи. Ако всичко по хардуера се окаже наред, но логовете са пълни със странни записи, тогава вероятността за влизане с взлом е доста голяма. В този случай направо откачай машината от интернет, направи пълен бекъп на всичко и най-вече на всякакви лог файлове и важни данни, след което се инсталира всичко наново. По принцип ако случая е влизане с взлом, трябва да има и други следи на най-различни места, най-вече логовете на фронтенд приложенията. Най-важното в случая на проникване в системата е възможно най-цялостен бекъп, защото буквално всеки файл е от значение. Няма да е лошо да обясниш каква е била конфигурацията - достъпни приложения и услуги, наличие/отсъствие на firewall, до колко работещите приложения са били ъпдейтвани и т.н.

[mIRCata]

Ами той сървърт е с колокация в евронет. Използва се за обслужване на сайта на фирмата, пощите на колегите, една вътрешна система ползваща MySQL. Има пуснат също proftpd и Firebird. Поне на важните неща се прави бекъп през няколко часа и се дърпа през интрнет на друга машина. Всички услуги се ползват само за служители на фирмата. Не предоставяме услуги на други лица. Освен форума и сайта.

Колкото до това колко и как са били ъпдейтвани приложенията - тук не мога да кажа, нямам наблюдения.

MySQL -a e 5-ца. Firebird 1.5, Аpache 2-ka, но дали е e 2.2 или 2.0.x не знам.

[Godfather]

Ами той сървърт е с колокация в евронет. Използва се за обслужване на сайта на фирмата, пощите на колегите, една вътрешна система ползваща MySQL. Има пуснат също proftpd и Firebird. Поне на важните неща се прави бекъп през няколко часа и се дърпа през интрнет на друга машина. Всички услуги се ползват само за служители на фирмата. Не предоставяме услуги на други лица. Освен форума и сайта.

Колкото до това колко и как са били ъпдейтвани приложенията - тук не мога да кажа, нямам наблюдения.

MySQL -a e 5-ца. Firebird 1.5, Аpache 2-ka, но дали е e 2.2 или 2.0.x не знам.

 

От цитираните работещи приложения има достатъчен брой кандидати за отправна точка при взломяване, но също така причината може да е просто проблем с диска и файловите системи. При всички случаи ще трябва подробен преглед както на общото състояние на машината, така и на всички логове.

[exabyte]

Провери си логовете на апачето и най-вече на форума за странни заявки.С какво дистро и какъв кернел е машината?

[dada]

SQL-a по default не забранява ли външни конекции и ако разрешава то е на принципа "разрешени ип-та,всички други са забранени" ?

Това като въпрос дали SQL-а може да е отправна точка за проникване.

[notor1ous]

SQL-a по default не забранява ли външни конекции и ако разрешава то е на принципа "разрешени ип-та,всички други са забранени" ?

Това като въпрос дали SQL-а може да е отправна точка за проникване.

Привилегиите за достъп се задават. Няма никво значение какви са дифаулт стоиностите. Това е синтаксиса за нагласяне на привилегии за ползване на MySQL-а. И да има достъп до MySQL от външни IP-та, то те могат само да правят SQL заявки и нямат достъп до файловата структура на сървъра.

[Godfather]

SQL-a по default не забранява ли външни конекции и ако разрешава то е на принципа "разрешени ип-та,всички други са забранени" ?

Това като въпрос дали SQL-а може да е отправна точка за проникване.

 

Проблемите в този случай са от друго естество. Почти никой не взломява директно SQL сървъри, след като много по-лесно е използването на т.нар. SQL injection техники, използващи уязвимости на уеб приложението, което ползва SQL сървъра (вмъкване на SQL queries в потребителски параметри, изпращани към приложението). Подобни уязвимости са масово разпространени за почти всяко уеб-базирано приложение. Ако пък се използват по-стари версии на популярни фронтендове, вероятността да се намерят готови експлоит-скриптове е много голяма.