Вопрос Сервер ubuntu, участвующий в атаках ddos


У нас есть сервер ubuntu-11.04, на котором работает postfix, который, похоже, участвует в атаке на других компьютерах. На сервере наблюдались следующие процессы:

www-data  6465 28192  0 08:52 ?        00:00:00 /bin/bash ./su 62.150
www-data  6469  6465  0 08:52 ?        00:00:00 sleep 10
www-data 19614     1 63 Nov14 ?        08:48:26 klogd -x
www-data 28191     1  0 Nov13 ?        00:00:00 sh -c ./rand 2>&1 3>&1
www-data 28192 28191  0 Nov13 ?        00:00:17 /bin/bash ./rand
www-data 31401     1  0 Nov12 ?        00:00:00 sh -c ./rand 2>&1 3>&1
www-data 31402 31401 20 Nov12 ?        14:45:44 /bin/bash ./rand

Кроме того, следующие записи были в /var/log/auth.log

Nov 10 13:46:06 smtp2 su[21335]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:07 smtp2 su[21335]: pam_authenticate: Authentication failure
Nov 10 13:46:07 smtp2 su[21335]: FAILED su for root by www-data
Nov 10 13:46:07 smtp2 su[21335]: - /dev/pts/0 www-data:root
Nov 10 13:46:08 smtp2 su[21336]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:10 smtp2 su[21336]: pam_authenticate: Authentication failure
Nov 10 13:46:10 smtp2 su[21336]: FAILED su for root by www-data
Nov 10 13:46:10 smtp2 su[21336]: - /dev/pts/0 www-data:root
Nov 10 13:46:10 smtp2 su[21337]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:13 smtp2 su[21337]: pam_authenticate: Authentication failure
Nov 10 13:46:13 smtp2 su[21337]: FAILED su for root by www-data
Nov 10 13:46:13 smtp2 su[21337]: - /dev/pts/0 www-data:root
Nov 10 13:46:13 smtp2 su[21338]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost=  user=root
Nov 10 13:46:14 smtp2 su[21338]: pam_authenticate: Authentication failure
Nov 10 13:46:14 smtp2 su[21338]: FAILED su for root by www-data

Выполнение поиска в системе для файлов с именем rand показывает следующее:

find . -name rand -print
./tmp/rup/rand

/tmp имеет следующее:

drwxr-xr-x 2 www-data www-data    4096 2013-11-15 10:24 rup
-rw-r--r-- 1 www-data www-data 1080938 2013-11-13 13:51 rup.tgz

Это нормально? Кажется, сервер был заражен в какой-то момент, хотя единственными открытыми портами являются pop3 и smtp. Может ли сервер заразиться с помощью этих портов? Если да, что можно сделать, чтобы защитить сервер от дальнейших инфекций?


1
2017-11-15 16:57


происхождения


вы можете добавить вывод w ? Вы также используете веб-сервер Apache в том же поле? - Anders F. U. Kiær
Кажется, что-то вроде того, кому-то удалось скомпрометировать ваши www-data учетной записи пользователя и попытайтесь выполнить эскалацию привилегий. cat /etc/passwd | grep www-data если результат начинается с чего-либо другого, кроме www-data:x: Вы проверили / var / www / * для странных файлов? - Anders F. U. Kiær
Несомненно, ваш сервер кажется скомпрометированным. Вы также можете свободно добавлять результаты lastlog, - Anders F. U. Kiær
Вывод w не показывает много активности в это время. w 12:32:48 до 6 дней, 21:26, 1 пользователь, в среднем: 3,38, 3,21, 3,10 - archana
В / var / www нет каких-либо странных файлов. Мы не намеренно настроили веб-сервер Apache, но он, возможно, был частью установки. В файле Passwd показана эта запись: www-data: x: 33: 33: www-data: / var / www: / bin / sh Я ошибался в отношении того, какие порты открыты. Для tcp открыты следующие: www, pop3, домен, imap4, 587, https, smtp. домен открыт для udp. Какие порты должны быть открыты для отправки и получения электронной почты? - archana


ответы:


Да, можно заразиться от любой службы, у которой есть уязвимости, независимо от того, какой порт или какая служба.

В вашем случае Ubuntu 11.04 поразил конец жизни (EOL) 28 октября 2012 года. Если у вас нет хороших подпрограмм для обновления, обнаружения и исправления уязвимостей, я настоятельно рекомендую придерживаться выпусков Ubuntu LTS для серверов в рабочей среде. Ubuntu 12.04.3 LTS (долгосрочная поддержка) будет разумным выбором, поскольку он будет поддерживаться обновлениями безопасности до апреля 2017 года.

В нем много руководств о том, как защищать серверы Ubuntu, искать в Интернете и пытаться фильтровать то, что было бы лучше всего для ваших услуг.

Если вы решите придерживаться Ubuntu 12.04 LTS, я бы предложил посмотреть на сервер. Он также имеет безопасность часть.  Fail2ban может вас заинтересовать. Но, возможно, самое главное получить автоматические обновления безопасности прокатки.


2
2017-11-15 19:49