Взломанный сервер, чужие файлы на сайтах

вопросы по устройству ВДС, ресурсам, предустановленному софту и т.д.

Модераторы: Art.i, garry

Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Сб апр 23, 2016 8:21 pm

Добрый день!

У меня VDS сервер и я не очень-то секу в администрировании, есть лишь некий опыт чайника.
Debian-8-amd64-ispmgr5

На сервере у меня с десяток сайтов. Проблема назрела ещё пол года назад, но я о том ничего не знал. На сайтах стали появляться каталоги с файлами. Как правило в конфиге от моего сайта появляется строка include которая подключает некий файл base.php (папка с ним может находиться в произвольном месте на сайте, например /images/2013/11/thumb/), а тот в свою очередь представляет нечто отдельного движка для сайта, который на моём сайте создаёт страницы с рекламой всякой херни, Яндекс начинает это Г***но индексировать. Вобщем картина не очень.

Итак, имеем строку include, папку с файлом base.php и миллион html файлов с контентом. Иногда встречается файл с названием jquery.php

Первый раз весь этот хлам я вычистил перед новым годом и был доволен. Поменял все пароли. Спустя пару месяцев ситуация повторилась, я опять всё почистил. На прошлой неделе ОПЯТЬ! Я снова вычистил, удалил все аккаунты FTP, сменил пароль root и пароль MySQL. Сменил порт для подключения через root. Прошла неделя, опять появились эти злополучные папки.

Что теперь делать не знаю, как появляются эти папки ума не приложу. Ещё прикол в том, что дата создания таких папок и файлов обычно не новая, а за прошлый год, т.е. просканировать сервер на наличие новых файлов не получается.
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение Mikanoshi » Сб апр 23, 2016 10:37 pm

Надо смотреть с какими правами создаются файлы, если все они с тем юзером, под которыми запущен вебсервер, то скорее всего движок/скрипт где-то на сайтах есть дырявый, позволяет закачивать скрипты вместо изображений. Если так, то до рута не добрались они (если только апач не под рутом запущен О_о).
FTP правильно, что нужно отключить, оставить только SFTP, желательно с ограничением SSH по IP. Тогда если кто-то и сможет зайти, то только троян с вашего компа.
Mikanoshi
 
Сообщений: 205
Зарегистрирован: Сб май 02, 2009 2:03 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Сб апр 23, 2016 11:41 pm

А может быть так, что кто-то получил однажды права root и создал другого пользователя с правами root и теперь пользуется вторым аккаунтом?
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение Mikanoshi » Вс апр 24, 2016 1:08 am

А проверить-то нельзя?) cat /etc/passwd
Mikanoshi
 
Сообщений: 205
Зарегистрирован: Сб май 02, 2009 2:03 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Вс апр 24, 2016 10:05 am

Посмотрел /etc/passwd там с нулями только имя root.
-------
Раз кто-то правил конфиги моих сайтов, то у него есть доступы к базам данных (юзер/имя/пароль)
Кроме того он мог сделать дыру в любом из файлов и оставить на сервере, при необходимости приходить через такие дыры. И собственно раз есть доступ к базе, то он мог и там чего-нибудь оставить.
Жесть)
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Вс апр 24, 2016 10:30 am

Есть ещё второй файл с названием passwd- откуда и зачем он я не знаю.
Из файла passwd можно вручную пользователей удалять или только через консоль?
Там есть такие пользователи, которых как мне кажется вообще не должно быть:
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
Последний раз редактировалось dmawzx Вс апр 24, 2016 10:37 am, всего редактировалось 1 раз.
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Вс апр 24, 2016 10:36 am

Проверил open_basedir, там путь до папки сайта, т.е. скриптом злоумышленник выше подняться не сможет, но по факту он размещает свои коды на нескольких сайтах, поэтому мне кажется, что дыра всё таки где-то на самом сервере.
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение Mikanoshi » Вс апр 24, 2016 1:38 pm

dmawzx писал(а):Кроме того он мог сделать дыру в любом из файлов и оставить на сервере, при необходимости приходить через такие дыры. И собственно раз есть доступ к базе, то он мог и там чего-нибудь оставить.

Поэтому надо делать полный аудит, бэкдор могли оставить где угодно. Если есть бэкапы и локальные копии сайтов, то проще их восстановить. Потом проверить весь сервер каким-нибудь антивирусом.
У меня тоже было подобное, по фтп закачивались файлы и в индексы на всех сайтах добавлялся инклюд на них. Там был обфусцированный яваскрипт, антивирус помог найти.
Из-за того случая, кстати, я закрыл доступ к серверу по IP везде (SSH, POP3, ISP/VM Manager), повесил на крон ClamAV проверять каждые пару дней все сайты, а также Rootkit Hunter.
Ещё ежедневные отчёты на мыло от Logwatch, он подбивает статистику по многим сервисам в системе, показывает изменения в системных файлах (том же passwd), кто и сколько раз подключался к SSH, логинился в почту и т.д.
dmawzx писал(а):Из файла passwd можно вручную пользователей удалять или только через консоль?
Там есть такие пользователи, которых как мне кажется вообще не должно быть

Лучше через консоль, не только этот файл связан с юзерами, в /etc/master.passwd ещё хеши паролей (не знаю в Debian так же или нет, я на FreeBSD).
Под юзерами без шелла всё равно не зайти, да и какой-то сервис может их использовать. lp например это для lpd (Line Printer Daemon), принтеры какие-то. games это тоже стандартный юзер.
Mikanoshi
 
Сообщений: 205
Зарегистрирован: Сб май 02, 2009 2:03 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Вс апр 24, 2016 1:46 pm

Mikanoshi, спасибо! Буду искать инфу, как этим пользоваться.
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение swg » Вс апр 24, 2016 7:19 pm

Mikanoshi писал(а):А проверить-то нельзя?) cat /etc/passwd

/root/.ssh/authorized_keys :) вообще-то. и пользователя создавать не надо.
swg
флудит форум
 
Сообщений: 2383
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение swg » Вс апр 24, 2016 7:24 pm

Убедиться, что на своём компьютере нет зловредов. Скопировать сайт и БД локально, вычистить (как - это уже, как повезёт, все зависит от знаний). Проанализировать все access и error логи (на предмет обращений к бэкдорам), для начала убрать все *.css , *.js , *.картинки. Предварительно проверить конфиг VirtualHost (и Apache), мало ли что еще выполняется как php (может js). Переустановить сервер и вернуть всё обратно. Повторять процедуру, до тех пор, пока не поможет, обращаясь к более опытному специалисту.
swg
флудит форум
 
Сообщений: 2383
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Вс апр 24, 2016 8:15 pm

/root/.ssh/authorized_keys - этот файл должен быть пустым? Там в нём некая последовательность (ключ):
ssh-dss AAAAB3NzaC1k...тут много символов...hwuPIhlZ/3Rn3WBuoWIzQ== reonaydo@ispsystem.com
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение swg » Вс апр 24, 2016 8:24 pm

Этот файл должен быть. А пустым или нет - зависит от администратора. Та строка, что у вас, речь про viewtopic.php?f=9&t=10633&p=57226 Я отвечал на то, что не обязательно создавать нового пользователя, чтобы заходить в систему.
swg
флудит форум
 
Сообщений: 2383
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение dmawzx » Вс апр 24, 2016 8:28 pm

Ну я авторизуюсь по паролю, а это прочитал в нете авторизация по открытому ключу т.е. в этом файле чей-то ключ, с которым он может шариться у меня на сервере даже если я рутовский пароль меняю, верно?
dmawzx
 
Сообщений: 23
Зарегистрирован: Ср ноя 21, 2012 1:47 pm

Re: Взломанный сервер, чужие файлы на сайтах

Сообщение swg » Вс апр 24, 2016 8:35 pm

dmawzx писал(а):... в этом файле чей-то ключ, с которым он может шариться у меня на сервере даже если я рутовский пароль меняю, верно?
Верно. Но вы на это не отвлекайтесь, для вас полезнее этот ответ viewtopic.php?f=3&t=10776&p=57872#p57868
swg
флудит форум
 
Сообщений: 2383
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

След.

Вернуться в Вопросы о работе сервера

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4