» »

[linux]rooted - call to help

[linux]rooted - call to help

'FireSTORM' ::

predvčeraj sem update-al php iz 5.2.0 na 5.2.1 pa tudi apache 2.2.3 na 2.2.4
včeraj sem opazil da je apache server ugasnjen
sem mislil da je to sam kak bug z novo izdajo, zaženem nazaj
danes pa hočem preverit mail na svoji strani preko webmaila in vidim access denied 8-O
takoj ssh povezava v strežnik
in kar takoj pogledam httpd.conf
celi config file spremenjen, doc root nastavljen na /usr itd itd
ok spremenim nazaj na /var/www/htdocs
restartam apache
error: path not found 8-O
pogledam, res ga ni več
preletim sistem z rkhunter, nič sumljivega, ampak pač php in apache verzija mu ni dišala ker je ne pozna, ta2 novejša od rkhunterja
pregledam datoteke
/etc/shadow, /etc/passwd, /etc/group in seveda tudi sudoers
nič novega oz. nevšečnega, vse ok
in kar opažam že dlje časa
ko zaženem ukaz w je output takšen:
uptime xx days xx:xx 3 users ....
username1 ...
username2 ...
no če ni razvidno kar mi je sumljivo, v prvi vrstici najde 3 userje
ko pa izpiše kdo in od kje je na sistemu pa samo 2, jaz in še en moj uporabnik
kje za vraga je tretji?
je to mogoče moj nepovabljeni gost?
če imam res kak rootkit, kako ga najt in se ga rešit?
bi mi kernel upgrade iz 2.4.x na 2.6.20.1 pomagal kasneje kaj pri varnosti?

no do zdaj je bila zaščita takšna:
/etc/shadow :
root:*:.....
torej root disabled
v sudoers mam en group dodan in v ta group sebe in še dva userja ki jima lahko zaupam(vsaj upam)
odprti porti: 21,22,25,80,113,143
distro je pa Slackware 11

kaj mi je zdaj storiti?
na LQ so mi svetovali blokirati ves vhodni in izhodni promet, problem je da potem tudi sebe blokiram
backup celotnega systema(še ni narejen, večina je)
backup logov(narejen)
ok lahko pregledam loge, ampak teh klobas je huhuhu dost...
nevem kaj bi naj grepal iz logov da bi malo pohitrilo mojo iskanje...
mi lahko kdo pomaga pri mojem problemu?
Those penguins.... They sure aint normal....

BigWhale ::

Najprej masino odklopis z networka. Potem pa analiziras kaj je bilo. Ce teskrbi downtime, pa enostavno na novo instaliras vse skupaj nak drug disk in zamenjas diska v masini. Potem analiziras kaj se je dogajalo.

SasoS ::

Sistem je obvezno naložit na novo, nikoli ne veš če je kje kak spremenjen binary...

'FireSTORM' ::

ma ne nič ni blo
kolega ki ma tudi root dostop do strežnika je povedal
da je nekaj spreminjal v httpd.conf in po pomoti zbrisal htdocs direktorij
saj na srečo sem mel backup strani narejen ravno pred nekaj dnevi
drugače pa ob iskanju teh rootkitov sem se naučil marsikaj novega, tako da ne morem rečt da je to blo delo za prazen nič ;)

saj to vem da je potrebno na novo namestit, ampak če sformatiram vse potem lahko pozabim na to da bi zvedel kdo je kriv za to :)
Those penguins.... They sure aint normal....

BigWhale ::

Moj odgovor se enkrat preberi.

'FireSTORM' ::

ti pa še mojega enkrat
nima smisla izkapljat diska in na drugega dajat na novo gor če je šlo samo za nesporazum, bom pa upošteval tvoj nasvet ko bo šlo zares(upam da nebo)

drugače pa tisti w output
mislim da je nek error
ker če grem v init 1 (sem moral it ker sem nastavljal quote)
sem jaz loginan fizično na serverju ostalega pa takrat nič ne more bit še manj pa preko spleta ker takrat serverja ni na spletu
Those penguins.... They sure aint normal....

BigWhale ::

> saj to vem da je potrebno na novo namestit, ampak če sformatiram vse potem lahko
> pozabim na to da bi zvedel kdo je kriv za to :)

To si napisal.

Jaz sem pa takoj predlagal, da zmontiras drug disk in starega pustis nedotaknjenega za analizo.

Naknadna ugotovitev, da je slo za nesporazum nima nobene veze. Jaz sem govoril na splosno.

'FireSTORM' ::

ja saj te razumem kar hočeš povedat
ampak strežnik kdaj pa kdaj nedostopen(fizično) po kak teden ali dva
zato zamenjava diska ni vedno rešitev

zato sem mislil da bi najprej dodal svoj IP kot accept v iptables
za port 22
ostalo pa vse dropal
Those penguins.... They sure aint normal....


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
!

Postavitev Apache serverja s podporo za PHP in MySQL (strani: 1 2 3 4 5 6 7 )

Oddelek: Izdelava spletišč
322243021 (17686) miko22
»

DNS

Oddelek: Omrežja in internet
232649 (2259) kyusss
»

[Linux][OpenSuSe] SVN repozitorij na Windows shared folders in pravice za datotečni s

Oddelek: Operacijski sistemi
161739 (1543) 'FireSTORM'
»

Virtual host - Apache

Oddelek: Izdelava spletišč
142090 (1679) Doman
»

Apache

Oddelek: Izdelava spletišč
111353 (1237) Skrat

Več podobnih tem