all your base are belong to us...

[eltalpa]

Ho un piccolo (se così si può definire) problema...
Da ieri sera non riesco più a loggarmi via ssh al mio server con l'utente root: la password è cambiata. Da questa mattina persino la password di admin del pannelo directAdmin è cambiata.

Risultato: non posso più amminstrare il mio server.

Inoltre i grafici di uso della banda riportano la saturazione completa della banda in download (ho 2 mbit flat) del server durante la notte.

Sono riuscito a loggarmi questa mattina via ssh tramite un utente limitato che avevo creato a suo tempo ma purtroppo non è nella lista dei sudoers. L'unica cosa che sono riuscito a fare è un po' di netstat e ps aux e ho visto alcune connessioni "sospette"

C'è qualche possibilità di fare qualcosa?
Dovrei inoltrare la denuncia alla POLPOST?

Ogni consiglio è benvenuto...

[GrG]

Inizierei a contattare il provider per vedere cosa fare.

Non hai accesso ad un pannello da dove puoi spegnere la macchina?

[eltalpa]

Inizierei a contattare il provider per vedere cosa fare.

Già fatto, ho due opzioni:
la possibilità di utilizzare una kvm oppure un intervento del tecnico.
La kvm mi viene a costare meno naturalmente, però volgio essere sicuro di poter sistemare il problema. La mia idea era quella di far partire la macchina in single user e cambiare le password.
C'è altro che potrei fare per rendere la macchina più sicura?
Disabilitare l'accesso ssh da root e creare un utente che sia nella lista dei sudoers era una delle idee.

Non hai accesso ad un pannello da dove puoi spegnere la macchina?

La mia macchina è da seflow. Ho un pannelo che mi dà la possibilità di fare un reboot, ma di spegnerla/accenderla proprio no.

[Ste]

nel caso il server sia stato effettivamente bucato personalmente farei un bel controllo, o al meglio un formattone per levare qualsiasi dubbio in merito

[eltalpa]

nel caso il server sia stato effettivamente bucato personalmente farei un bel controllo, o al meglio un formattone per levare qualsiasi dubbio in merito

Lo stavo pensando pure io... in realtà è che ora come ora non capisco ancora cosa sia successo, e se effettivamente qualcuno ci stia combinando qualcosa.
Certo non riesco a darmi altre spiegazioni dell'accaduto, le passsword non si cambiano mica da sole durante per la notte

L'unico attacco che mi viene in mente è un brute force via ssh sulla password di root. Per il resto il sistema era aggiornato e le uniche porte aperte sul firewall CEntos erano quelle necessarie per l'hosting (80, 21, 22, 110, 2222 per directadmin, 443). L'unico dubbio che mi rimane è una vecchia versione di MAMBO installata da uno dei miei clienti... possibile che una vulnerabilità del genere permetta privileges escalation? dubito.

[WizOfOz]

non dubitare... mambo ha parecchi falle... soprattutto se non lo tieni aggiornato

[eltalpa]

non dubitare... mambo ha parecchi falle... soprattutto se non lo tieni aggiornato

Mi fido. Sarà la prima cosa che sparisce appena riesco a rimettere piede sul server.

EDIT: in ogni caso ho richiesto l'intervento del tecnico. La kvm purtroppo non era disponibile da subito...

[GrG]

Era un bug di php, lo ho letto settimana scorsa

5, vero? sicuro sia aggiornatissimo?

[eltalpa]

Era un bug di php, lo ho letto settimana scorsa

5, vero? sicuro sia aggiornatissimo?

a meno che non abbia smesso di andare il cronjob che installa gli aggiornamenti ogni notte credo proprio di si... in ogni caso controllerò

EDIT: a che vulnerabilità ti riferisci?

[GrG]

non mi ricordo, e non riesco a ritrovare la pagina.

settimana scorsa ho ravantato in tante di quelle mailinglist che, anche volendo, non potrei ritrovarla...

[GrG]

Cronjob? allora parli di aggiornamenti intesi come upgrade dei pacchetti installati?

di solito con i .deb gli aggiornamenti escono in 1/2 gg di ritardo, non so con gli rpm

[eltalpa]

ok, ho risolto i miei problemi. L'intervento del tecnico mi ha ripristinato la password di root.

Prima cosa controlo etc/passwd e cosa mi salta fuori?

Codice:

bx:x:536:537::/home/bx:/bin/bash
Zeronymus:x:537:538::/home/Zeronymus:/bin/bash
zero:x:538:539::/home/zero:/bin/bash

E chi sono questi? via, pussavia! Eliminati. Idem nel file dei sudoers.

Poi per sicurezza ho passato in rassegna tutti i files modificati nelle ultime 24 ore. E ho fatto bene.
Quando ho eseguito il comando

Codice:

find /var -mtime -1 -print

cosa mi salta fuori?

Codice PHP:

/var/www/html/torrent/downloads/Superman.Doomsday.2007.DVDRip.XviD/Superman Doomsday.r00
/var/www/html/torrent/downloads/Superman.Doomsday.2007.DVDRip.XviD/Superman Doomsday.r01
/var/www/html/torrent/downloads/Superman.Doomsday.2007.DVDRip.XviD/Superman Doomsday.r02
/var/www/html/torrent/downloads/Superman.Doomsday.2007.DVDRip.XviD/Superman Doomsday.r03
/var/www/html/torrent/downloads/Superman.Doomsday.2007.DVDRip.XviD/Superman Doomsday.r04
/var/www/html/torrent/downloads/Superman.Doomsday.2007.DVDRip.XviD/Superman Doomsday.r05
/var/www/html/torrent/downloads/Superman.Doomsday.2007.DVDRip.XviD/Superman Doomsday.r06
/var/www/html/torrent/downloads/Superman.Doomsday.2007.DVDRip.XviD/Superman Doomsday.r07
....... 


e altre belle cartelle del genere

Diciamo che ho tirato un sospiro di sollievo: in fondo stavano usando il mio server "solo" per scambiarsi qualche film

Vabbuò, vado a mangiare cena... tutto sto guardia e ladri mi ha fatto venire fame.

[FlameNetworks]

Hai veriricato che non ci sia una backdoor installata e/o un lkm?

[eltalpa]

Hai veriricato che non ci sia una backdoor installata e/o un lkm?

Come faccio?
ho controllato i processi e non ho visto nulla di strano. vi posto la configurazione di iptables se volete...

[eltalpa]

ok,
ho controllato iptables, ho controllato i moduli del kernel (scoprendo che per qualche motivo sono caricati persino quelli relativi al bluetooth e agli infrarossi ), ho ricontrollato tutto il filesystem e ho riletto i log. Mi sembra tutto in ordine.

Domani mattina aggiornerò tutti i pacchetti di directadmin in modo da essere al sicuro il più possibile.