PDA

Visualizza la versione completa : la mia macchina attacca le altre in webfarm...


allin81
19-03-2012, 20:13
Ciao a tutti
ho un problema, mi hanno staccato la connessione al mio server dedicato in quanto dicono che la mia macchina attacca le altre macchine della loro rete.
Ora dicono che mi danno un kvm per poter accedere tramite shell e controllare di che si tratta.
Qualcuno di voi ci e' passato per queste cose? cosa devo vedere?
Dai log si capisce se si tratta di un problema sui miei siti o altro?

Dascos
19-03-2012, 21:16
Originariamente inviato da allin81
Ciao a tutti
ho un problema, mi hanno staccato la connessione al mio server dedicato in quanto dicono che la mia macchina attacca le altre macchine della loro rete.
Ora dicono che mi danno un kvm per poter accedere tramite shell e controllare di che si tratta.
Qualcuno di voi ci e' passato per queste cose? cosa devo vedere?
Dai log si capisce se si tratta di un problema sui miei siti o altro?
Ciao,
direi che i log sono la prima cosa da guardare e sì, possono aiutarti molto. Comincerei dai log di sistema, soprattutto messages e syslog. Proverei ovviamente anche i log di apache o comunque del webserver alla ricerca di strane connessioni (non l'error log, l'access log). Inoltre a scanso di equivoci anche un "last" e un controllino in user-log male non fa.
Potresti anche provare, ma dandoti una kvm mi sa che non puoi farlo, a installare un tool come rkhunter e, dato che sembra tu abbia un dedicato, sicuramente un firewall proattivo; dalla mia esperienza posso consigliarti csf, che ti permette di fare tante belle cosine analizzando anche i log, non ultima ti permette di essere avvisato se qualcuno accede a una shell di sistema.

In seguito, se non ne vieni a capo, proverei a cercare se hai delle shell caricate sui siti web e se qualche utente del server è stato compromesso (accesso ftp debole, password mysql debole eccetera).

Se servono consigli o aiuti ulteriori fischia

:ciauz:

allin81
19-03-2012, 21:48
Originariamente inviato da Dascos
Ciao,
direi che i log sono la prima cosa da guardare e sì, possono aiutarti molto. Comincerei dai log di sistema, soprattutto messages e syslog. Proverei ovviamente anche i log di apache o comunque del webserver alla ricerca di strane connessioni (non l'error log, l'access log). Inoltre a scanso di equivoci anche un "last" e un controllino in user-log male non fa.
Potresti anche provare, ma dandoti una kvm mi sa che non puoi farlo, a installare un tool come rkhunter e, dato che sembra tu abbia un dedicato, sicuramente un firewall proattivo; dalla mia esperienza posso consigliarti csf, che ti permette di fare tante belle cosine analizzando anche i log, non ultima ti permette di essere avvisato se qualcuno accede a una shell di sistema.

In seguito, se non ne vieni a capo, proverei a cercare se hai delle shell caricate sui siti web e se qualche utente del server è stato compromesso (accesso ftp debole, password mysql debole eccetera).

Se servono consigli o aiuti ulteriori fischia

:ciauz:
grazie per le info, mi sapresti dire su un server linux dove dovrei andare a controllare questi log?
Cioe' il percorso in modo da andare a colpo sicuro
Grazie

MItaly
19-03-2012, 21:49
Originariamente inviato da allin81
grazie per le info, mi sapresti dire su un server linux dove dovrei andare a controllare questi log?
/var/log

Dascos
19-03-2012, 22:08
Originariamente inviato da MItaly
/var/log
/var/log per i log di sistema.
Per i log del web server dipende dal webserver e da come è configurato.
Probabilmente uno di questi

/var/log/apache2
/var/log/lighttpd
/var/log/nginx

Inoltre potrebbero esistere log separati per ogni sito web. Di solito si trovano in una cartella log nella root del cliente/sito, tipo /var/www/vhosts/pippo.it/logs oppure /var/www/vhosts/cliente1/logs o simili però anche qui dipende molto dal web server e da come è configurato.

last e history sono comandi shell.

allin81
19-03-2012, 22:18
il problema e' solo uno, come faccio a capire quale potrebbe essere il problema??
in questi casi cosa dovrebbe uscire nei log??

Dascos
19-03-2012, 22:31
Beh intanto nei log di sistema direi dei login inaspettati, da history l'eventuale storia di cosa ha fatto chi per caso è riuscito a loggarsi (e si è dimenticato di azzerare la stessa), da last gli ultimi utenti loggati.
Dai log del webserver potresti scoprire tentativi di sql injection tramite get (difficlmente tramite post) e anche l'accesso a shell in php (solitamente fatte in php, ma anche in perl), come p.e. la c99shell (c99shell.php).

Purtroppo è talmente ampia la gamma di controlli possibili che mettersi a fare una lista è impensabile, anche perchè spesso da una possibile minaccia (un login, uno script....) si deve passare a verificarne l'effettiva pericolosità e quindi "saltare" da un controllo all'altro...

Ti serve credo sicuramente un aiuto da un sistemista (intendo: aiuto o da parte della server farm o da un professionista. In quest'utlimo caso se vuoi provare qui su html.it ti conviene aprire una richiesta in "offro lavoro"...)

:ciauz:

allin81
19-03-2012, 23:37
quelle directory non le trovo proprio... allego tutto il contenuto di /var/log

Ho anche lanciato il comando history, ma riesco a vedere fino ad un certo punto, tipo una 20 di righe all'insu', di piu' non riesco, c'e' un modo per vedere poco alla volta quello che e' successo??

allin81
19-03-2012, 23:54
da last ho controllato, ed abbiamo avuto l'accesso solo io e il programmatore che collabora con me.
Con history riesco a vedere solo da numero 355 a numero 377, prima di 355 non so come vedere...

I log ho postato l'immagine per capire dove vedere...

allin81
20-03-2012, 00:21
ho trovato qualcosa di "ucraino" che con me e il mio server non c'entra niente... nel log c'e' scritto:
network unreachable resolving 'ns.bilopol.ua/A/IN' : 21:67c:e0: :121#53

puo' essere qualcosa ?

Loading