понедельник, 12 января 2009 г.

Сделали частью ботнет сети

Как-то пару недель назад, захожу я на свой основной сервер, по привычке запускаю мониторинг процессов(команда top, я всегда слежу за загрузкой) и вижу следующую картину:

18580 bin 15 0 24116 8932 4144 S 0 0.4 0:03.58 php sesion.php 66.252.139.23
18792 bin 15 0 24116 8924 4144 S 0 0.4 0:01.45 php sesion.php 66.252.142.247
19100 bin 15 0 24116 8920 4144 S 0 0.4 0:00.49 php sesion.php 66.252.14.7
19203 bin 15 0 24112 8932 4144 S 0 0.4 0:03.22 php sesion.php 66.252.155.30
19730 bin 15 0 24112 8924 4144 S 0 0.4 0:00.20 php sesion.php 66.252.170.180
22327 bin 15 0 24116 8928 4144 S 0 0.4 0:00.23 php sesion.php 66.252.170.30

Командой who я узнаю, что на серваке сидит чужак под именем bin:

bin pts/4 Nov 12 07:36 (ac9e9364.ipt.aol.com)
root pts/5 Nov 12 10:34 (*.*.*.*)
root pts/6 Nov 12 10:34 (*.*.*.*)

В панике я начинаю судорожно вспоминать, как загасить все процессы определённого пользователя. Нашёл папку с вредоносными программами, перенёс её в укромное местечко, удалил пользователя bin, перегрузил машину(reboot).

В итоге мне достался полный комплект софта для брута с библиотекой логинов и паролей. На этом сервере это уже второй случай за год(библиотека паролей растёт, гыгы).

Как обезопасить на будущее?

Как один из вариантов, раз в час запускать программу, которая будет проверять список текущих пользователей, если в списке есть чужаки, отправлять алерт на тот же емайл, на который поступают сигналы о не рабочих серверах.


__________ халявные ТИЦки __________

shuya-moloko.ru - свободен, ТИЦ=10.

Кто зарегит - сообщает в комментариях(только без говно-ссылок на ваши сайты по продаже пластиковых окон).

Регомендую домены регистрировать в РуЦентре(300 руб. для партнёров) или Reg.ru(130 руб. для партнёров), хостинг заказывать у РуЦентра(162 руб/мес. за 3 сайта) или у Reg.ru(199 руб/мес. за 10 сайтов).

Если не знаем что сейчас делать с этим добром, вешаем на парковку!

Но лучше сбацать сайт и отправить в сапу на заработки.

p.s. опять опоздал на раздачу?! подписывайся на RSS, будет много вкусного :)

6 комментариев:

  1. Анонимный12 января, 2009 22:26

    поставить на сервер софт типа sshguard который не даст подбирать пароли и не мучаться.

    ОтветитьУдалить
  2. Закажи чтоб сервер посекурил админ :)

    ОтветитьУдалить
  3. Открою тебе секрет - shutdown -h now - это выключение. shutdown -r now - ребут. Поправь, а это перегрузит так кто-нибудь сервак :)

    ОтветитьУдалить
  4. Анонимный26 января, 2009 16:19

    Что-то ты о программном обеспечении сервера ничего не написал. Ну там какие проги ставить, включая сам сервер, как контролить и т.д.
    Информация для начинающих сисадминов, так сказать!

    ОтветитьУдалить
  5. Анонимный, пишу только тогда, когда пропрёт. Задавайте правильные вопросы и ищите ответы в инете.

    ОтветитьУдалить

Внимание! Все ссылки проходят фейс контроль. Все ссылки REL=NOFOLLOW. Удаляются все комментарии, кроме: анонимных или с ссылками на личные финансовые блоги.