Mironoff Опубликовано 24 февраля, 2009 Жалоба Опубликовано 24 февраля, 2009 Такая вот проблема: у меня есть сервер (CentOS), на котором хостятся несколько (20) сайтов, настроен suexec - сайты работают на PERL, кроме того есть 3 сайта на PHP (форумы phpbb), недавно столкнулся с такой проблемой - сервер периодически генерирует DoS-атаки на другой сервер по 53-му порту... Перерыл все логи - не могу найти источник... есть вероятность того, что поломали форумы phpbb, но мне же необходимо найти генератор атаки... как? Честно говоря я не очень большой специалист... особенно не ругайте проблема еще в том, что не смог отследить работу сервера именно во время проведения атаки. Помогите пожалуйста. Цитата
Byte Опубликовано 24 февраля, 2009 Жалоба Опубликовано 24 февраля, 2009 а, если, для начала закрыть исходящие по 53-му порту? Цитата
Mironoff Опубликовано 24 февраля, 2009 Автор Жалоба Опубликовано 24 февраля, 2009 Ну конечно, закрыли Но, по большому счету, проблема осталась не решенной... Мне необходимо узнать - кто это сделал и как. И какими методами. Цитата
Byte Опубликовано 24 февраля, 2009 Жалоба Опубликовано 24 февраля, 2009 Скорее всего в таком случае необходимо пройтись по форумам посвященным безопасности и, скорее всего, англоязычным. Цитата
Mironoff Опубликовано 24 февраля, 2009 Автор Жалоба Опубликовано 24 февраля, 2009 Просмотрели очень много... искали исполняемый файл от другого юзера (апача, если файлик залили через дыру в форуме), искали недавно измененные файлы, проверяли их... ничего нет... как будто ничего и не было А ведь было! Конечно, есть вероятность того, что злоумышленник после атак этот файл удалил, но ведь должны же были остаться следы... просто уже не знаю, где искать. Цитата
Byte Опубликовано 24 февраля, 2009 Жалоба Опубликовано 24 февраля, 2009 А это не может быть просто ошибкой в том же движке форума? При определенных условиях, к примеру, такая реакция софта? Цитата
Mironoff Опубликовано 24 февраля, 2009 Автор Жалоба Опубликовано 24 февраля, 2009 по всплеску наблюдали генерацию порядка 30-80 тыс. пакетов в секунду, которые генерировали трафик в 80Мб/с - причем исключительно udp-пакеты на 53-й порт... маловероятно, что это ошибка в форуме. Цитата
gogi Опубликовано 24 февраля, 2009 Жалоба Опубликовано 24 февраля, 2009 А dns сервер у вас не поднят. А то может неправильно настроен и дает кучу рекурсивных запросов. Посмотрите кому адресованы пакеты. Цитата
Mironoff Опубликовано 25 февраля, 2009 Автор Жалоба Опубликовано 25 февраля, 2009 А DNS-сервер не поднят , а все пакеты идут на определенный IP, причем где-то очень далеко в Штатах... Я так понимаю атака организована скорее всего в целях положить локальную подсеть, в которой находится сервер. Либо положить сам сервер "изнутри"... Давайте я немного постараюсь уточнить вопрос: Какими средствами, анализом каких логов можно определить источник (генератор) флуда (в результате анализа этих данных мы сможем определить, как злоумышленник попал на сервер)? Если это исполняемый файл - как его найти? Если это результат внешнего воздействия/вмешательства злоумышленника - возможно ли определить "черный ход", через который этот злоумышленник получил доступ? Конечно, сейчас мы постарались максимально все закрыть, но если файл (генератор) остался на сервере, а параметры атаки (порт, мощность, время) возможно передать, зная URL этого файла - проблема остается... Цитата
Byte Опубликовано 25 февраля, 2009 Жалоба Опубликовано 25 февраля, 2009 а #lsof -i не показывает того, что нужно? Цитата
gogi Опубликовано 25 февраля, 2009 Жалоба Опубликовано 25 февраля, 2009 Mironoff писал(а) Wed, 25 February 2009 13:41 Если это исполняемый файл - как его найти? Антивирусом, я надеюсь, не забыли проверить. Цитата: Если это результат внешнего воздействия/вмешательства злоумышленника - возможно ли определить "черный ход", через который этот злоумышленник получил доступ? А это, обычно, обновлением ПО закрывают. Цитата
Legalizer Опубликовано 25 февраля, 2009 Жалоба Опубликовано 25 февраля, 2009 gogi писал(а) Wed, 25 February 2009 19:08 Mironoff писал(а) Wed, 25 February 2009 13:41 Если это исполняемый файл - как его найти? Антивирусом, я надеюсь, не забыли проверить. ИМХО, нелогичное предположение. Для того, чтобы что-то вирусом заразить - права нужны. То есть какой-то бинарник в системе должен был заболеть... Цитата: Цитата: Если это результат внешнего воздействия/вмешательства злоумышленника - возможно ли определить "черный ход", через который этот злоумышленник получил доступ? А это, обычно, обновлением ПО закрывают. ЗАкрывают - понятно как, но вопрос стоит, как понять, что уже произошло и проанализировать ситуацию. Цитата
gogi Опубликовано 25 февраля, 2009 Жалоба Опубликовано 25 февраля, 2009 Legalizer писал(а) Wed, 25 February 2009 19:30 gogi писал(а) Wed, 25 February 2009 19:08 Mironoff писал(а) Wed, 25 February 2009 13:41 Если это исполняемый файл - как его найти? Антивирусом, я надеюсь, не забыли проверить. ИМХО, нелогичное предположение. Для того, чтобы что-то вирусом заразить - права нужны. То есть какой-то бинарник в системе должен был заболеть... 1. Исполняемый - вряд ли, но проверка не помешает. 2. автору . Данные форумчане пишут в папки, изолированные от хостинга? Цитата
Mironoff Опубликовано 26 февраля, 2009 Автор Жалоба Опубликовано 26 февраля, 2009 Цитата: Данные форумчане пишут в папки, изолированные от хостинга? Вообще-то форумчане данные вообще никакие не пишут, по крайней мере ни загрузка файлов, аватаров, и т.п. на этих форумах не разрешена. То, что у phpbb-х форумов немеренно дырок - я думаю, все знают, поэтому мы постарались ограничить опасный функционал до минимума. По поводу антивируса - конечно проверили, вроде все чисто... Цитата
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.