Обновить
Комментарии 96
уволить админов этих серверов — и дело с концом…
Сначала бы неплохо матчасть изучить, а потом уже комментарии писать
Это верно.Не объясните часом, как веб сервер nginx может рассылать спам?
НЛО прилетело и опубликовало эту надпись здесь
а обновления какого хрена выпускаются?
это все чтобы пользователям винды было легче перейти
Опенсоурс ПО — это хорошо, а не идеально…
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Не совсем понятно ифрейм ссылается на собственный сервер?
Нет всё на разных серверах. iframe'ы вставляют на страницы хакнутых сайтов. А этот iframe уже ссылается на сервер, контролируемый хакерами, откуда, после ряда редиректов, происходит загрузка вредоносных кодов.
сколько машин-то? поди просто порутанные вручную сервера. так что о серьезном ботнете речи не идет.
Ну тогда странно, что говорится именно об apache и linux. Может быть работают боты, использующие связку 0-day эксплоитов под апач и линукс? Тогда масштабы могут быть действительно большие.
It just occurred to me that hackers may simple have root passwords from those hacked servers.


Так и есть. А Денису респект — неплохо пропиарился! :)
Ко мне постоянно ломятся друзья вот с этих адресов (пытаются подобрать пароль для отключенного пользователя root): 88.84.133.135, 201.134.103.165, 84.45.186.234, 82.196.72.120, 125.46.54.247, 213.17.171.187, 69.147.241.226, 218.32.80.168, 92.48.112.75, 83.98.212.150, 200.49.68.110, 122.70.146.252, 217.151.150.146, 64.237.60.79, 195.144.192.158, 206.246.140.191, 66.135.59.137, 203.109.69.172, 119.70.132.135, 211.155.227.18, 75.125.127.210, 77.120.116.47, 149.217.72.19, 202.88.239.147, 202.117.56.29, 207.3.148.126, 125.17.114.243, 203.145.172.175, 213.99.38.3, 222.109.206.50, 70.33.245.232, 69.162.125.26, 221.132.73.156, 60.162.123.140, 221.238.249.83, 222.85.67.243, 92.45.8.146, 67.23.29.33, 69.197.161.80, 129.82.147.198
Каждые пару дней появляется новый адрес. Это либо пользователи со static-ip либо сервера.
Ко мне тоже ломились и подбирали пароли, но не только к руту и к другим стандартным пользователям.
Но теперь вроде успокоились :)
Поиск по гуглу этой самой строки ничего не дал кроме ссылок на копипасту этой статьи

И еще — я что то, наверное, совсем отстал от жизни, но фак мой мозг, что значит фраза «занимался рассылкой спама и вредоносного ПО через порт 8080.»

Сервер _слушает_ на порту 8080. Слу_Ша_Ет. Какое это отношение имет к тому, чтобы что то рассылать? Чтобы что то отослать, требуется к чему-то приконнектится. Я что то совсем нихрена не понял по итогам этой статьи.

придумано в MS дабы опорочить честь Linux.=)))
На самом деле как я вижу всё намного опроще, чем драматургировано в статье. Вирусы под винду, которые воруют сохранённые в фтп-клиентах пароли и залазят на фтп, известны уже несколько лет. Там они прописывают в тело индексных страниц ифрейм, через который уже другие пользователи заражаются бякой.

Если это так, то ботнет из линукс-серверов это притянутое за уши понятие, ибо упор идёт на вирусы под винду.
xxx: Настоящий программер-линуксоид пишет и для линукса и для винды.
ххх: Спросите что же он пишет для винды?
ххх: Конечно вирусы. :)
Именно так и есть. Много раз сталкивался.

На самом деле ботнет из клиентов этих веб серверов. :)
Ага и nginx ставят тоже по ftp, наверное.
Я на свой тестовый сервак словил такую хрень. Работает так:
-простукивает ssh
-брутфорсом подбирает пароль на него (у меня пароль был автогенерирован, на 10 символов)
-потом ломится внутрь и запускает демон, который во все html, php файлы пишет iframe адресов, кстати несколько, а также рассылает спам и также брутфорсом пытается подобрать пароли к другим сервакам (кстати держит себя в папке с названием из пробелов).

Прошу не пинать, что я тупой и надо грамотнее администрировать сервер — я не администратор, денег на администратора нет, а сервера нужныю

Как защищался я
— ssh только по ключу (запретить авторизацию по паролю)
— изменить порт ssh
-запретить авторизацию root
— еще есть прикольная програмка ip2ban
две недели ничего плохого на сервере не творится, логи чисты
Неужели реально пробрутить пароль из 10 символов разного регистра со знаками препинания?
я сам был в шоке. лог 20Гб, на сервер забивал всего на 2 месяца
ну в смысле не использовал его
Я бы предложил все упростить: сделать возможность повторного ввода пароля на сервер раз секунд в 5… и оттянуть момент подбора в глубину времен :) Ну а после 1000 неправильных вариантов — бан ip.
Я не как администратор, а как программист это предлагаю. Наверняка есть такие реализованные решения.
На 8080 стоит уязвимый веб-сервер (напр., backend-сервер, который забыли закрыть), через который на машину устанавливают спам-бот (который рассылает спам через 25й порт, как и положено). Или сам этот веб-сервер тоже подсажен вместе с ботом для работы в качестве командной оболочки — ну вместо телнета, т.к. коннекты к телнет/ssh-портам часто либо закрыты, либо ограничены доверенной сетью. Или просто потому что новому поколению хакеров веб-интерейс ближе телнета :)
Про спам тут просто неверный перевод.

В статье написано, что если хакерам удалось установить вебсервер, то технически нет никаких преград заставить взломанный сервер (не nginx) заниматься и прочей деятельностью, присущей классическим ботнетам, как то рассылкой спама, DDOS атаками, и т.д. Однако в настоящий момент этому нет никаких подтверждений.
Ддосы с серверных ботнетов я уже получал. Хороший хостер спас.
Чушь, все проблемы из-за ленивости и халатности (можно сказать преступной) администраторов этих серверов.

Главная уязвимость компьютера — это его оператор, ну и сервера, увы, админ.
Что-то не совсем понятно, каким образом веб-сервера заражаются, и что этот ботнет в принципе делает.
Насколько мне известно под заражение попали те сервера на которых был nginx и все «зомби» заражались вручную.
Т.е. ничего по сути не поменялось — как заражали вручную, так вручную и заражают. Как в баяне про молдавский вирус:-) (http://www.server.md/forum/viewtopic/1099/forum/24/)
НЛО прилетело и опубликовало эту надпись здесь
Ботнет на ксен это сильно :) паразитная виртаульная машина.
НЛО прилетело и опубликовало эту надпись здесь
Я имею ввиду дыры в самом ксен.
НЛО прилетело и опубликовало эту надпись здесь
Или в случае с openVZ заголовки «Паразитный контейнер самопроизвольно мигрирует с копированием на все обнаруженные openVZ системы, создавая огромный кластер на базе VPS для рассылки спама» ололо…
Хотя сижу и думаю, почему я про опенВЗ именно — хз )
Если хоть иногда загалдывать в /va/log/messages то можно увидеть тасячи коннектов по ssh, у меня иногда было несколько десятков в минуту. Так что превед админам с паролем 111 и юзерами test test в группе wheel.
от таких лишних коннектов спасает нестандартный порт sshd
но пароль — да, на стойкость проверять надо, а лучше вообще запретить авторизацию по паролю извне — ключики ведь есть
Ну просканить порты тоже просканят :) Я думаю самое лучшее это запретить вход руту и иметь нетривиальные пароли для юзеров. Ну ещё кикстарт можно.
уж лучше тогда 2 ssh, один на 22м, с отключенным PAM нахрен. Второй — уже где хочется (тока не на 8022, боже упаси). Чтоб не разозлить никого ненароком =).
кстати хорошая идея — причем на 22 лучше вешать какой-нить stateless-иммитатор sshd чтобы при скане ресурсов меньше потреблял, чем настоящий демон
ну это уже, имхо, экономия на спичках =). Всего-то нужно поставить в этом ssh на 22-м порту авторизацию только по внешнему ключу и всё. Стукнутся разок, вздохнут и оставят в покое.
Да, для 99% случаев этого более чем достаточно.

На моих серверах порт существенно нестандартный, плюс отсутствие стандартного приглашения sshd чтоб при скане не палился, а на 22м вообще ничего не висит — логи радуют отсутствием лишних записей :)
Вы не в курсе, не существует ли эдакого интернет-проекта четкого сборника советов позиционированных по двум плоскостям «что защищать» и «от чего защищать» (иными словами — не просто список советов, а вот примерно в такой ипостаси)? И для linux/bsd в целом и для популярных технологий (тот же php или python для сайтов) в частности?

Наверное, понятно какая идея мне пришла в голову =) Я уже подзапарился вспоминать иногда древние уловки — а так хоть структуировать получилось бы. И обсудить, само собой…
Навскидку — не припомню, но действительно полезно было бы. Важно только чтобы в таком проекте был жесткий механизм отбора советов — базовых ведь довольно немного, и уже в рамках одного совета можно примеры использования выкладывать.
Например тут — совет выглядит как «хочешь что-то спрятать — положи в другом месте и замаскируй»

Вспомнилось:
шутливая картинка на тему стандартных расположений и защиты
ну начинаться должно все равно с четкого совета «спрячьте ssh». А там уж способы. Ибо моё мнение — такое делать надо вообще на любом сервере в принципе, по крайней мере там, где авторизация не только по внешним ключам.

Там же и советы от ddos-а можно было бы, а то нынче эта тема уж больно популярна.

Главное — четкая каталогизация, чтобы вместо того чтобы рыскать в поисках защиты штуки ИКС, можно было бы поглядеть например по тегам программ и все.

В принципе, на первых порах это может быть просто mediawiki, хоть там и жутко неудобно обсуждать. Чешу репу =). Одна из немногих вещей, которые хочется сделать для собственного удобства, а не для $$.
Вот так и рождаются стартапы :)
Главное — хорошо продумать навигацию и юзабилити, тогда должно получиться жизнеспособно
а картинка — да… хотя если когда-то у меня были печальные эмоции по этому поводу, потом слегка насмешливые… то теперь… сочувствие лишь наверное =).
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --update --seconds 30 -j DROP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --set -j ACCEPT

пара строк в файерволе, и перебор паролей идет лесом.

PS. В кратце — коннект на 22 порт не чаще чем раз в 30 секунд, если чаще — бан с обнулением времени таймера при каждой следующей попытке.
Это первое дело что надо сделать :)
denyhosts помогает — блочит черере /etc/host.deny такие брутфорсящие адреса
глупо ставить denyhosts если у юзера пароль 111 ;). То есть если ставишь denyhosts, то это уже априори означает что ты хочешь не спастись от брутфорса, а просто забанить паразитные попытки, может, чтобы в логах на маячили. Ибо раз уж ставишь denyhosts, то явно перед этим все пароли сделал аццкими.
да тут вся статья «привет админам». Как можно nginx не заметить? =)
А вы пробовали когда-нибудь администрировать больше 100 серверов в одно лицо? :)
пробовал и пробую. И тем более — если это ферма из одинаковых серверов, то даже разный ps на 1 из серверов — уже повод бить тревогу. А способов запустить что то на 100 серверах сразу — великое множество, сами знаете.

момент номер два — я когда то 40 серверов обслуживал — обновлял ядра каждые 2 дня на 1 сервере (т.е. вся ферма — за 80 дней). Иногда чуть больше, но четко не меньше. Обновление такое явно делается руками (gentoo) с пересборкой самого ядра. Ну и фоном пока собиралось — пробежаться глазами по логам и тп… и всё =)
а если работать не универсалом, а конкретно админом, то, я думаю, больше десятка серверов в день можно руками анализировать на предмет аномалий. нет?
Ферма — это хорошо :) Но бывает и зоопарк, в общем разные случаи бывают — где-то сервер затерялся, где-то админа грузят по полной и не дают ему нормально все сделать и т.п.
А конкретный админ — да, обязан с утра не к кофе тянуться, а к логам :) Ну, и когда серверов полно, то всяко выделенный лог-сервер нужно иметь хотя бы на authpriv.*
переименовать в ./bla-bla-bla и запустить. Чтобы открыть 8080 порт админских прав не требо.
блин ну я понимаю в windows можно не заметить что-то. Но в linux-то как!? Хотя может это мое собственное ощущение — я гентушник, а если систему собираешь сам, то любые касяки/левые процессы видишь моментально. Я уж не говорю что каждый раз механически поглядываю в netstat -lntp ещё со времен россказней про «первый вирус под linux!».
это не относится к админам с паролем test :)
true.

ну вот ещё один пунтктик в admin competency matrix xD
Ну, у нас ловился руткит, который ставил модифицированные либы, которые маскировали его процесс. То есть набираешь ps ax, а там всё чисто. А вообще везде всё чисто. А посмотришь в /proc…
В оригинальной статье «который занимается рассылкой спама и вредоносного ПО через порт 8080» по ходу отсутствует. Там сказано «кто знает, чем может заниматься этот ботнет? может рассылкой спама, а может и распространением вредоносного ПО».
Да и сама англицкая статья не блещет техническими точностями. Для компиляции софта рутовые права совсем не нужны, как и для того, чтобы подвеситься слушать порт 8080.
Интересно, после этого все равно найдутся малолетние 'энтузиасты', которые будут надрываться про то, что «на линуксе вирусов нет по определению», а значит защищаться им не нужно?
есть сайт spectehinka.lg.ua/forum — там чо то сидит внизу — не могу выкорчевывать… в коде страницы этого нет (гляжу через фтп)… а при отдаче по апачу — есть… нид хелп, уже хз чо делать, сайтовики говорят ставь каспера, но мну нельзя, есть лицензионный нод, да и авз и карытом проверил — ничо нету…
в форумах ввставлять могут не только в индекс файлы или шаблоны, а еще и в SQL базу, благо у многих формов там шаблоны и храняться…
посмотрите phpinfo — директиву auto_append_file
Да с чего вы вообще взяли что это боты? а может просто взломали в конец нужных файлов автоматизированно добавил нужный фрейм и всё, причём тут ваще боты и фреймы ?, ты ни как серверу не прикажешь вконец вывода потока добавлять фрейм, что за глупости?

Меня вот то же как один хостер обозвал самым крупным червём, но делал то я всё ручками.
Прозреваю флейм на пару сотен комментов минимум, с участием в основном тех, кто не прочитал ничего кроме самой «новости» (с изрядной долей тех, кто не прочитал ничего кроме заголовка :))
Передайте Денису Синегубко, что он вообще нихрена не в теме. Топикстартер, кстати, тоже.
Реальная ситуация:
1) размещаются или заражаются несколько сайтов, путем внедрения iframe кода.
2) с подгрузкой содержимого iframe подгружается вредоносный код — буквально 2 недели назад и последняя версия firefox его пропускала
3) загруженная на машину жертвы программа ворует пароли к ftp или с firefox, или с filezilla, или с keepass (маловероятно) — откуда именно, так и не разобрался
4) и отдает пароли хозяину
5) хозяйская машина лезет на все хосты, от которых у нее есть пароли
6) в случае удачи соединения, рекурсивно открывает файлы index.php, index.html и еще некоторые по шаблону встраивая туда iframe код и сохраняя
7) зараженный сайт начинает заражать компьютеры посетителей
8) goto п. 1

Ахринительно опасная вещь.
подтверждаю.

только добавлю, что под линуксом п.2 не работал ну и следовательно вся цепочка обламывалась.
но так как была одна виндовая машина, то заразились и вычищали эту бяку долго.
На самом деле серверы взламываются, заливаются различного рода программки, которые и занимаются тем, чем им «прикажут» их владельцы.

Не далее как месяц назад хороший товарищ попросил проверить сервер на наличии вредоносного ПО — хостер ругался на паразитный трафик. Чего я там только не нашел… начиная шелом на php, заканчивая могучими и тяжеловесными бинарниками, которые рассылали спам, долбили кого-то по 22 порту, флудили на 80 порты как минимум 20 (!!!) серверов. Но это все равно не повод на мой взгляд объявлять о появлении «Linux- ботнетов». Такой ботнет существовал всегда — сколько не внимательных и не особо грамотных администраторов, столько и зомби, причем не важно — сервер это, или простая персоналка под управлением не важно чего.
Но nginx рассылающий спам — этого я еще не видел ;)
теперь можно ещё написать демона который будет проверять наличие таких строк в файлах на хостинге и создать фирму по обновлению базы таких ссылок =)
польщает, но не очень логичен. Как совсем жесткая атака — можно было бы модуль ядра написать с http-модулем +))))))) Вот уж действительно даже в голову не придёт, что какой-то левый модуль загружен. А скрыться от netstat или ps при этом — расплюнуть.
Ммм, кстати хорошая мысль для размышления. Многие хостеры порой не отключают даже дефолтные модули, так что при взломе вставить еще один и ничего больше не делать — отличный вариант!
Так и не ответили сколько машин в ботнете!
Интересно, есть ли ботнеты, у которых есть модули для Линукса и Винды? Чтобы бить со всех сторон.
НЛО прилетело и опубликовало эту надпись здесь
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.