Здравствуйте, люди! Возникла проблема - есть шлюз на Debian Linux 7, который начал выдавать исходящий трафик, конкретно забивающий худенький 2Мб канал. Утилита jnettop показывает следующее: #77 Если отключить eth0 (внутренний интерфейс), то ничего не меняется, следовательно, трафик идет не из внутренней сети. Пытаюсь блокировать айпишники по маске в mangle-prerouting, но это больше похоже на вычерпывание воды из дырявой лодки, за день 20 записей. Гасил squid - ситуация не изменяется. В nix-администрировании совсем недавно, мягко говоря новичок, буду рад любой помощи. Заранее спасибо!
Member
Статус: Не в сети Регистрация: 06.07.2004 Откуда: РФ Фото: 6
PolyMorph Апач установлен? Есть загрузка проца перлом? Я недавно сталкивался с атакой на дефолтную страницу апача. Боты кладут скрипт на дефолтную страницу с cgi-bin и оно чего-то делает. команды top и atop для монитора нагрузки на цп.
PolyMorph Апач установлен? Есть загрузка проца перлом? Я недавно сталкивался с атакой на дефолтную страницу апача. Боты кладут скрипт на дефолтную страницу с cgi-bin и оно чего-то делает. команды top и atop для монитора нагрузки на цп.
Апач стоит, дефолтная страница не открыта, top показывает нагрузку менее процента.
drinkermann- писал(а):
Прокситейблы прописаны, чтоб дропал со внешки все кроме нужного? Проблему апача это кстати тоже решит.
По белому списку работать нельзя, клиентам нужен доступ к сайту. Открытые порты:
PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 81/tcp open hosts2-ns 111/tcp open rpcbind 443/tcp open https 3389/tcp open ms-term-serv 5555/tcp open freeciv 10000/tcp open snet-sensor-mgmt
В данный момент доступ к ДНС серверу открыт только для внутренней сети, что не есть правильно... Уже через несколько дней мы пропадем из инета и наступит ататат =(
Member
Статус: Не в сети Регистрация: 06.07.2004 Откуда: РФ Фото: 6
PolyMorph
ls -la /etc/apache2/sites-enabled/
Дефолтная страница будет типа 000-default -> ../sites-available/default в ней есть раздел <Directory "/usr/lib/cgi-bin">. Вот к нему надо доступ резать напрочь. У меня сейчас Order deny,allow Deny from all
Или вообще удалять из enabled.
При взломе шла ошибка в журнале вида
/var/log/apache2/error.log
Код:
[Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] . [Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] . . [Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] . [Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] . [Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] .. 100% 114K=0.1s [Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] [Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] 2013-11-03 15:56:58 (114 KB/s) - `/tmp/robot.txt' saved [15760/15760] [Sun Nov 03 15:56:58 2013] [error] [client 66.197.237.101] [Sun Nov 03 16:01:58 2013] [error] [client 66.197.237.101] PHP Warning: PHP Startup: Unable to load dynamic library '/usr/lib/php5/20060613+lfs/curl.so' - /usr/lib/php5/20060613+lfs/curl.so: cannot open shared object file: No such file or directory in Unknown on line 0 [Sun Nov 03 16:01:58 2013] [warn] [client 66.197.237.101] Timeout waiting for output from CGI script /usr/lib/cgi-bin/php [Sun Nov 03 16:01:58 2013] [error] [client 66.197.237.101] Script timed out before returning headers: php [Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] <b>Security Alert!</b> The PHP CGI cannot be accessed directly. [Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] [Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] <p>This PHP CGI binary was compiled with force-cgi-redirect enabled. This [Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] means that a page will only be served up if the REDIRECT_STATUS CGI variable is [Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] set, e.g. via an Apache Action directive.</p> [Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] <p>For more information as to <i>why</i> this behaviour exists, see the <a href="http://php.net/security.cgi-bin">manual page for CGI security</a>.</p> [Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] <p>For more information about changing this behaviour or re-enabling this webserver, [Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] consult the installation file that came with this distribution, or visit [Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] <a href="http://php.net/install.windows">the manual page</a>.</p> [Sun Nov 03 16:01:59 2013] [error] [client 66.197.237.101] Premature end of script headers: php5 [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] --2013-11-03 16:02:00-- http://87.118.99.84/robot.txt [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] Connecting to 87.118.99.84:80... [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] connected. [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] HTTP request sent, awaiting response... [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] 200 OK [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] Length: [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] 15760 [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] (15K) [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] [text/plain] [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] Saving to: `/tmp/robot.txt' [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] 0K [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] . [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] . [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] . [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] . [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] . [Sun Nov 03 16:02:00 2013] [error] [client 66.197.237.101] .
В результате в системе появлялся процесс perl который лез в сеть.
Судя по журналу, это массовая тупая атака идёт. Вот прямо сейчас, судя по журналу, куча разных ip ломится на cgi-bin. Смотри журналы. Может быть у тебя что-то другое. Сам по себе сервер генерить трафик не должен, а возможностей подцепить заразу не так много. Самое очевидное в первую очередь смотреть следует.
PolyMorph Кстати, а IPv6 ты в системе управляешь? Или выключил хотя бы?
IPv6 отрублен, 403-ю Forbidden на паблик ип выдает IIS. Судя по журналам, боты заставляли ДНС подробно отвечать на их запросы очень много раз, что и создавало мусорный трафик. Апач в моем случае ни при чем.
Да, вот еще штуку крайне рекомендую. Называется Iptables-tutorial от Frozentux
Спасибо за инфу! Будем почитать.
Добавлено спустя 2 часа 57 минут 26 секунд: Не буду создавать новую тему, спрошу здесь. Настраиваю второй канал, мануалов много в инете, вопросов особо нет, кроме действительно важного момента. Если у почтовика sendmail изменится IP, я буду в куче спам-баз. Какое правило спасет меня? Мне даже не придумать, что у гугля спрашивать =\
Добавлено спустя 1 час 55 минут 34 секунды:
PolyMorph писал(а):
Какое правило спасет меня?
ip rule add fwmark 1 table dsl iptables -t mangle -A PREROUTING -s 192.168.2.239 -j MARK --set-mark 1
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения