Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 10 su 10

Discussione: server compromesso

  1. 23-08-2008, 17:40 #1
    maurizio54
    maurizio54 non è in linea
    Utente di HTML.it L'avatar di maurizio54
    Registrato dal
    Nov 2003
    Messaggi
    412

    server compromesso

    Ho un server dedicato su aruba con CENTOS. Mi arriva questa segnalazione:

    tentativi di attacco verso indirizzi esterni originati dal suo server.

    Possible compromised host at or behind IP address: 62.149.227.64

    Vodafone IDS sensors are set via NTP to Time Zone: GMT=UTC+0

    Date: 2008/08/22 (YYYY/MM/DD)
    partial tcpdump output for scan from
    host64-227-149-62.serverdedicati.aruba.it


    2008-08-22 12:08:18.428780 IP 62.149.227.64.36266 > 194.62.232.92.22: S
    111786279:111786279(0) win 5840 <mss 1460,sackOK,timestamp 369020719
    0,nop,wscale 7> etc.....

    Non so propio che pesci pigliare, mi sapreste dire da dove posso iniziare per rimettere a posto le cose?

    P.S. Da quando ho la segnalazione da parte di aruba, l'applicazione che risiede sul server si raggiunge con grande difficoltà ed anche il collegamento FTP è lentissimo. Grazie e se sono OT spostate pure la discussione (ero indeciso fra il forum di linux e quello dei server)
    Rispondi quotando Rispondi quotando
  2. 23-08-2008, 17:45 #2
    Marcolino's
    Marcolino's non è in linea
    Utente di HTML.it L'avatar di Marcolino's
    Registrato dal
    May 2003
    residenza
    Udine
    Messaggi
    3,606
    L'indirizzo 194.62.232.92 a cosa corrisponde?
    Al ping e al tracert non da segni di vita.
    Poi spegni la macchina dal tuo pannello di controllo di Aruba, almeno fino a quando non saprai cosa è successo, questo impedirà nuove "compromissioni" nel frattempo.
    StilisticaMente Host
    Rispondi quotando Rispondi quotando
  3. 23-08-2008, 19:12 #3
    cacao74
    cacao74 non è in linea
    Utente di HTML.it L'avatar di cacao74
    Registrato dal
    Jan 2005
    Messaggi
    2,570
    Invia un messaggio tramite ICQ a cacao74
    ritieni valido che dal server di aruba ci sia stato traffico sulla porta 22/tcp (SSH ?) di una macchina remota con IP 194.62.232.92 ?
    Se la tua risposta e' no, allo potresti incominciare a considerare il tuo server compromesso e valutare se e' il caso di brasarlo, rimettare un sistema exnovo e rivedere le politiche di sicurezza.

    ciao
    slack? smack!
    Rispondi quotando Rispondi quotando
  4. 23-08-2008, 20:14 #4
    detroit
    detroit non è in linea
    Utente di HTML.it
    Registrato dal
    Jul 2008
    Messaggi
    1,526
    brutta gatta da pelare..spesso gli attacchi provengono da più macchine,magari di qualche utente ignaro,sotto il controllo dell'attaccante..non hai altre info oltre a quel report?
    Rispondi quotando Rispondi quotando
  5. 24-08-2008, 15:49 #5
    maurizio54
    maurizio54 non è in linea
    Utente di HTML.it L'avatar di maurizio54
    Registrato dal
    Nov 2003
    Messaggi
    412
    Grazie per le risposte, per ora non so di più di quello che vi ho postato. cerco altre informazioni e poi vi terrò al corrente
    Rispondi quotando Rispondi quotando
  6. 24-08-2008, 20:03 #6
    dAb
    dAb non è in linea
    Utente di HTML.it
    Registrato dal
    Sep 2006
    Messaggi
    796
    Vedo che su quella macchina gira una caterva di servizi raggiungibili da remoto. La banda e` impegnata da qualcosa di strambo. Hai davvero bisogno di mysql aperto verso l'esterno? E di vnc costantemente aperto? E il pannello di controllo di plesk?
    fb - stika
    Rispondi quotando Rispondi quotando
  7. 25-08-2008, 15:08 #7
    maurizio54
    maurizio54 non è in linea
    Utente di HTML.it L'avatar di maurizio54
    Registrato dal
    Nov 2003
    Messaggi
    412
    Ulteriori informazioni arrivate oggi:

    Oggetto: ATTACK: Network scanning from host at IP-address 62.149.227.64 (Hostname host64-227-149-62.serverdedicati.aruba.it)
    Data: Mon, 25 Aug 2008 08:58:55 +0200
    Da: Ole Holm Nielsen [list=1]
    A: hostmaster@technorail.com, abuse@technorail.com
    CC: GARR-CERT <cert@garr.it>, DK-CERT <cert@cert.dk>

    Abuse department of Technorail srl

    On August 25 at 06:16:59, 06:20:33 and 06:20:57 (timezone UTC+0200 in Europe)
    your host at IP-address 62.149.227.64 (Hostname
    host64-227-149-62.serverdedicati.aruba.it)
    performed a complete network scan of our network, trying to connect to
    the SSH (Secure Shell, TCP port 22) user account login service.
    The following logfile lines from our servers (domain: fysik.dtu.dk)
    document the incident:

    Aug 25 06:16:59 servfys sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:20:33 servfys sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:20:57 servfys sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:16:59 web2 sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:20:31 web2 sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:17:00 biosim sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:20:31 biosim sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:16:59 svol sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:20:31 svol sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:16:59 thul sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:20:31 thul sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:16:59 dk-grid sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:20:31 dk-grid sshd: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:17:00 serv309 sshd[18900]: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:20:31 serv309 sshd[20935]: refused connect from
    host64-227-149-62.serverdedicati.aruba.it (62.149.227.64)
    Aug 25 06:16:59 demon sshd[6902]: Did not receive identification string from
    62.149.227.64
    Aug 25 06:20:35 demon sshd[6922]: Connection closed by 62.149.227.64
    Aug 25 06:16:59 demon2 sshd[18158]: Did not receive identification string from
    62.149.227.64
    Aug 25 06:20:35 demon2 sshd[18179]: Connection closed by 62.149.227.64

    There is no question that this constitutes a malicious hacking attempt.

    Please identify your customer operating from the above address
    at the time mentioned, and terminate immediately his hacking
    activities. Please prevent him from continuing his hacking
    activities in the future as well.

    Due to the potential severity of this incident, we have reported
    it to the Computer Emergency Response Team (CERT) in Italy (IT)
    and Denmark.

    Sincerely yours

    Dr. Ole H. Nielsen
    Manager of computer services
    Department of Physics, Technical University of Denmark,
    Building 307, DK-2800 Lyngby, Denmark

    Riesci a dirmi cosa sta impegnando la banda e come fai a sapere quali sono i servizi che girano sulla macchina?

    Per quanto riguarda mysql, plesk e vnc mi servono per poter operare sulla macchina da remoto.Hai qualche consiglio da darmi per rendere più sicuro il server continuando a poterlo controllare da remoto? Grazie
    Rispondi quotando Rispondi quotando
  8. 25-08-2008, 16:41 #8
    cacao74
    cacao74 non è in linea
    Utente di HTML.it L'avatar di cacao74
    Registrato dal
    Jan 2005
    Messaggi
    2,570
    Invia un messaggio tramite ICQ a cacao74
    Non ho idea di come sia successo (rootkit, password semplice, ecc...) ma temo che la tua macchina sia con le chiappe al vento sulla internet. Dalla tua macchina stanno cercando di effettuare attivita' (a che scopo?) di dubbio legalita' (forse). I chiederei l'azzeramento e la reinstallazione del server che hai a disposizione, l'incremento/revisione delle politiche di sicurezza, ecc...

    Vedi tu il consiglio di chi e' piu' esperto di me.
    ciao
    slack? smack!
    Rispondi quotando Rispondi quotando
  9. 25-08-2008, 17:06 #9
    dAb
    dAb non è in linea
    Utente di HTML.it
    Registrato dal
    Sep 2006
    Messaggi
    796
    Originariamente inviato da maurizio54
    Ulteriori informazioni arrivate oggi:

    [..]
    Tale Ole H. Nielsen dell'universita` di Lyngby ti sta informando che dal tuo server e` partito un portscan verso la loro rete, dopodiche` sempre dal tuo server e` partito un tentativo di connessione via ssh. Qualcuno ti ha violato il server e lo sta usando per scopi illeciti. Comincerei col scrivere a Ole.H.Nielsen@fysik.dtu.dk per spiegargli che stai indagando sulla situazione, tanto per arginare le sue segnalazioni al provider.

    Riesci a dirmi cosa sta impegnando la banda e come fai a sapere quali sono i servizi che girano sulla macchina?
    Cosa stia impegnando la banda non lo so, potresti dare un'occhiata tu stesso con iptraf. Visto l'impegno e` probabile che la tua macchina sia al momento utilizzata per ospitare torrent o va` a sapere cos'altro, non mi stupirei se il suo indirizzo ip fosse incluso in qualche lista di tracker su canali illeciti. I servizi che girano sul tuo server li ho individuati con un semplice portscan [hai pubblicato il tuo indirizzo in chiaro]:

    PORT STATE SERVICE
    21/tcp open ftp
    22/tcp open ssh
    25/tcp open smtp
    53/tcp open domain
    80/tcp open http
    106/tcp open pop3pw
    110/tcp open pop3
    111/tcp open rpcbind
    135/tcp filtered msrpc
    137/tcp filtered netbios-ns
    138/tcp filtered netbios-dgm
    139/tcp filtered netbios-ssn
    143/tcp open imap
    443/tcp open https
    445/tcp filtered microsoft-ds
    465/tcp open smtps
    993/tcp open imaps
    995/tcp open pop3s
    1004/tcp open unknown
    3306/tcp open mysql
    5900/tcp open vnc
    8443/tcp open https-alt
    10000/tcp open snet-sensor-mgmt [questo e` webmin]


    Per quanto riguarda mysql, plesk e vnc mi servono per poter operare sulla macchina da remoto.Hai qualche consiglio da darmi per rendere più sicuro il server continuando a poterlo controllare da remoto? Grazie
    In via generale, su una macchina dovrebbero essere costantemente attivi solo i servizi strettamente necessari al suo funzionamento: plesk, vnc e webmin li dovresti avviare solo alla bisogna. Non capisco la necessita` di far rispondere mysql dall'esterno, a meno di casi particolarissimi il database dovrebbe essere raggiungibile solo da localhost. Inoltre via ssh non dovrebbe essere mai permesso il collegamento diretto via root ma solo tramite un utente fittizio dal quale poi eventualmente ottenere i privilegi di root con su una volta loggati.

    Probabilmente ti e` stato bucato l'account con un bruteforce via ssh, dopodiche` giu` di rootkit.

    Io solitamente, quando non dispongo di un collegamento vpn, configuro sshd per poter accettare login solo da un utente particolare, la cui shell e` la login di root: in questo modo quando mi collego alla macchina mi vengono richieste DUE password prima di poter effettivamente accedere alla shell vera e propria, e le probabilita` di successo tramite un bruteforce si riducono drasticamente: l'attaccante deve scovare non solo la password di root ma ancora prima il nome utente corretto con cui loggarsi prima di loggarsi con root, e ovviamente anche la sua password. Ma anche scovando questa, il suo bel programmino di bruteforce verra` ingannato dalla seconda richiesta di password, che non sara` piu` quella scovata ma una totalmente diversa [quella di root]. Di seguito un esempio, con il comando vipw editiamo /etc/passwd per sostituire /bin/bash con /bin/su:

    codice:
    MioUtenteRemoto:x:1056:1056:,,,:/home/MioUtenteRemoto:/bin/su
    E un esempio di /etc/ssh/sshd_config [per debian, non uso centos e non so quale sia la posizione del file di config in quella distro]:

    codice:
    # Facciamo rispondere ssh su una porta non standard:
Port 62666
# Impediamo l'accesso diretto a root:
PermitRootLogin no
# Permettiamo l'accesso solo a un particolare utente con login >14 caratteri:
AllowUsers MioUtenteRemoto
    E questo il risultato [nota che ANCHE le password dovrebbero essere >14 caratteri, e contenenti caratteri maiuscoli/minuscoli, numeri, ecc.]:

    codice:
    ssh -l MioUtenteRemoto -p 62666 mioserver.it
Password: ***************
Password: ***************
root@mioserver: /home/MioUtenteRemoto#
    Inoltre bisognerebbe lavorare un po' con iptables per impedire connessioni dal server verso l'esterno salvo quelle necessarie ai servizi offerti.

    Inizierei col fermare tutti i servizi all'infuori di sshd.

    Posta il risultato di nmap -vv localhost, tanto per verificare se sulla macchina sta girando qualche servizio che dall'esterno non riesco a individuare.
    fb - stika
    Rispondi quotando Rispondi quotando
  10. 26-08-2008, 22:42 #10
    maurizio54
    maurizio54 non è in linea
    Utente di HTML.it L'avatar di maurizio54
    Registrato dal
    Nov 2003
    Messaggi
    412
    ti ringrazio tantissimo per le utilissime informazioni. Penso di formattare e reinstallare tuto seguendo i tuoi consigli. Se non ti disturbo troppo mi riservo di richiederti ancora ulteriori consigli. Grazie di nuovo. Domani ti invio il report di quanto mi hai chiesto
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2026 vBulletin Solutions, Inc. All rights reserved.