PDA

Visualizza la versione completa : Server sotto attacco


yellowduck
21-02-2008, 02:24
...mi sto davvero facendo una cultura (sono un newbie, ma qualcosa a furia di problemi imparo)...

E' da un po' che il mio server (un VPS in una webfarm, che controllo via SSH) riceve visite non autorizzate (nè apprezzate). Prima via SSH con un attacco bruteforce (anche se ho una pw così complicata che non capisco come diavolo abbiano fatto a scoprirla), forse prima ancora con una vulnerabilità nel codice PHP. Durante queste visite hanno creato un paio di users, che ho prontamente eliminato.

Ora invece riescono ad accedere (credo) mettendo eth0 in promiscuous mode (qualsiasi cosa ciò significhi): questo è un estratto da /var/log/message

Feb 17 00:48:42 paperogiallo kernel: device eth0 entered promiscuous mode
Feb 17 00:50:38 paperogiallo kernel: ip_conntrack: table full, dropping packet.
Feb 17 00:50:38 paperogiallo last message repeated 9 times
Feb 17 00:50:49 paperogiallo kernel: printk: 7 messages suppressed.
Feb 17 00:50:49 paperogiallo kernel: ip_conntrack: table full, dropping packet.
Feb 17 00:50:49 paperogiallo kernel: ip_conntrack: table full, dropping packet.
Feb 17 00:50:53 paperogiallo kernel: printk: 363 messages suppressed.
Feb 17 00:50:53 paperogiallo kernel: ip_conntrack: table full, dropping packet.
Feb 17 00:51:11 paperogiallo kernel: printk: 210 messages suppressed.

Da quel che ho capito (girando qualche forum in inglese), è una vulnerabilità del kernel (2.6), ma essendo una macchina che fa da mail e web server, vorrei evitare di aggiornarlo (ricompilarlo? è giusto?) perchè, non avendolo mai fatto, immagino sia una cosa lunga e complicata (e poi non so se si può fare da remoto).

La cosa strana è che ho scoperto quest'ultima intrusione perchè collegandomi via ssh ho trovato nella bash_history dei messaggi che non avevo digitato io, eppure da /var/log/secure non risultano accessi da IP diversi dai miei (nè via ssh, nè via ftp). E' possibile che sia anche il Bind (9.2.4 chrooted) ad avere una parte di responsabilità?

Mi scuso per la lunghezza del post, ho fornito tutte le info che avevo...

Grazie a tutti

_YD

sylvaticus
22-02-2008, 01:00
io sono ancora più niubbo di te ma mi pare strano che qualcuno abbia utilizzato una "vulnerabilità del kernel".. cioè ce ne vuole prima... se tieni updatata la tua macchina è difficile.. molto più facile una vulnerabilità in qualche script PHP o simile.. ma dovrebbero aver ricevuto un utente sfigato in tal caso, non certo root...

yellowduck
22-02-2008, 02:13
Non fare una gara di newbitudine, rischi di perderla... :D

Anche a me sembra strano, una vulnerabilità nel codice di php (che sicuramente c'era, prima che controllassi davvero quel che era installato) avrebbe dovuto dargli accesso come nobody o apache... invece sono sicuro che ha fatto alcuni accessi come root...

Ora sto tenendo down il server FTP, ho cambiato porta al server ssh (x quanto possa valere), ma oltre a questo non posso fare... il Bind deve andare x forza...

_YD

untamed
22-02-2008, 13:59
Puoi considerare anche di usare pam per restringere ulteriormente l'accesso ssh dall'esterno ad un utente preciso:
http://www.linux.com/feature/119446

vampirodolce
22-02-2008, 14:32
Se il problema e' ssh, non usare la porta 22 ma cambiala.
E' pieno di cinesi che cercano di entrare sulla porta 22, usane una che conosci solo tu e tutti questi lameronazzi spariranno.

Loading