Как-то пару недель назад, захожу я на свой основной сервер, по привычке запускаю мониторинг процессов(команда top, я всегда слежу за загрузкой) и вижу следующую картину:
18580 bin 15 0 24116 8932 4144 S 0 0.4 0:03.58 php sesion.php 66.252.139.23
18792 bin 15 0 24116 8924 4144 S 0 0.4 0:01.45 php sesion.php 66.252.142.247
19100 bin 15 0 24116 8920 4144 S 0 0.4 0:00.49 php sesion.php 66.252.14.7
19203 bin 15 0 24112 8932 4144 S 0 0.4 0:03.22 php sesion.php 66.252.155.30
19730 bin 15 0 24112 8924 4144 S 0 0.4 0:00.20 php sesion.php 66.252.170.180
22327 bin 15 0 24116 8928 4144 S 0 0.4 0:00.23 php sesion.php 66.252.170.30
Командой who я узнаю, что на серваке сидит чужак под именем bin:
bin pts/4 Nov 12 07:36 (ac9e9364.ipt.aol.com)
root pts/5 Nov 12 10:34 (*.*.*.*)
root pts/6 Nov 12 10:34 (*.*.*.*)
В панике я начинаю судорожно вспоминать, как загасить все процессы определённого пользователя. Нашёл папку с вредоносными программами, перенёс её в укромное местечко, удалил пользователя bin, перегрузил машину(reboot).
В итоге мне достался полный комплект софта для брута с библиотекой логинов и паролей. На этом сервере это уже второй случай за год(библиотека паролей растёт, гыгы).
Как обезопасить на будущее?
Как один из вариантов, раз в час запускать программу, которая будет проверять список текущих пользователей, если в списке есть чужаки, отправлять алерт на тот же емайл, на который поступают сигналы о не рабочих серверах.
__________ халявные ТИЦки __________
shuya-moloko.ru - свободен, ТИЦ=10.
Кто зарегит - сообщает в комментариях(только без говно-ссылок на ваши сайты по продаже пластиковых окон).
Регомендую домены регистрировать в РуЦентре(300 руб. для партнёров) или Reg.ru(130 руб. для партнёров), хостинг заказывать у РуЦентра(162 руб/мес. за 3 сайта) или у Reg.ru(199 руб/мес. за 10 сайтов).
Если не знаем что сейчас делать с этим добром, вешаем на парковку!
Но лучше сбацать сайт и отправить в сапу на заработки.
p.s. опять опоздал на раздачу?! подписывайся на RSS, будет много вкусного :)
поставить на сервер софт типа sshguard который не даст подбирать пароли и не мучаться.
ОтветитьУдалитьЗакажи чтоб сервер посекурил админ :)
ОтветитьУдалитьЗарегил себе домен!
ОтветитьУдалитьОткрою тебе секрет - shutdown -h now - это выключение. shutdown -r now - ребут. Поправь, а это перегрузит так кто-нибудь сервак :)
ОтветитьУдалитьЧто-то ты о программном обеспечении сервера ничего не написал. Ну там какие проги ставить, включая сам сервер, как контролить и т.д.
ОтветитьУдалитьИнформация для начинающих сисадминов, так сказать!
Анонимный, пишу только тогда, когда пропрёт. Задавайте правильные вопросы и ищите ответы в инете.
ОтветитьУдалить