Комментарии 96
уволить админов этих серверов — и дело с концом…
под линукс нет вирусов!
Не совсем понятно ифрейм ссылается на собственный сервер?
сколько машин-то? поди просто порутанные вручную сервера. так что о серьезном ботнете речи не идет.
Ну тогда странно, что говорится именно об apache и linux. Может быть работают боты, использующие связку 0-day эксплоитов под апач и линукс? Тогда масштабы могут быть действительно большие.
It just occurred to me that hackers may simple have root passwords from those hacked servers.
Так и есть. А Денису респект — неплохо пропиарился! :)
Ко мне постоянно ломятся друзья вот с этих адресов (пытаются подобрать пароль для отключенного пользователя root): 88.84.133.135, 201.134.103.165, 84.45.186.234, 82.196.72.120, 125.46.54.247, 213.17.171.187, 69.147.241.226, 218.32.80.168, 92.48.112.75, 83.98.212.150, 200.49.68.110, 122.70.146.252, 217.151.150.146, 64.237.60.79, 195.144.192.158, 206.246.140.191, 66.135.59.137, 203.109.69.172, 119.70.132.135, 211.155.227.18, 75.125.127.210, 77.120.116.47, 149.217.72.19, 202.88.239.147, 202.117.56.29, 207.3.148.126, 125.17.114.243, 203.145.172.175, 213.99.38.3, 222.109.206.50, 70.33.245.232, 69.162.125.26, 221.132.73.156, 60.162.123.140, 221.238.249.83, 222.85.67.243, 92.45.8.146, 67.23.29.33, 69.197.161.80, 129.82.147.198
Каждые пару дней появляется новый адрес. Это либо пользователи со static-ip либо сервера.
Каждые пару дней появляется новый адрес. Это либо пользователи со static-ip либо сервера.
Поиск по гуглу этой самой строки ничего не дал кроме ссылок на копипасту этой статьи
И еще — я что то, наверное, совсем отстал от жизни, но фак мой мозг, что значит фраза «занимался рассылкой спама и вредоносного ПО через порт 8080.»
Сервер _слушает_ на порту 8080. Слу_Ша_Ет. Какое это отношение имет к тому, чтобы что то рассылать? Чтобы что то отослать, требуется к чему-то приконнектится. Я что то совсем нихрена не понял по итогам этой статьи.
И еще — я что то, наверное, совсем отстал от жизни, но фак мой мозг, что значит фраза «занимался рассылкой спама и вредоносного ПО через порт 8080.»
Сервер _слушает_ на порту 8080. Слу_Ша_Ет. Какое это отношение имет к тому, чтобы что то рассылать? Чтобы что то отослать, требуется к чему-то приконнектится. Я что то совсем нихрена не понял по итогам этой статьи.
придумано в MS дабы опорочить честь Linux.=)))
На самом деле как я вижу всё намного опроще, чем драматургировано в статье. Вирусы под винду, которые воруют сохранённые в фтп-клиентах пароли и залазят на фтп, известны уже несколько лет. Там они прописывают в тело индексных страниц ифрейм, через который уже другие пользователи заражаются бякой.
Если это так, то ботнет из линукс-серверов это притянутое за уши понятие, ибо упор идёт на вирусы под винду.
Если это так, то ботнет из линукс-серверов это притянутое за уши понятие, ибо упор идёт на вирусы под винду.
xxx: Настоящий программер-линуксоид пишет и для линукса и для винды.
ххх: Спросите что же он пишет для винды?
ххх: Конечно вирусы. :)
ххх: Спросите что же он пишет для винды?
ххх: Конечно вирусы. :)
Именно так и есть. Много раз сталкивался.
На самом деле ботнет из клиентов этих веб серверов. :)
На самом деле ботнет из клиентов этих веб серверов. :)
Ага и nginx ставят тоже по ftp, наверное.
Я на свой тестовый сервак словил такую хрень. Работает так:
-простукивает ssh
-брутфорсом подбирает пароль на него (у меня пароль был автогенерирован, на 10 символов)
-потом ломится внутрь и запускает демон, который во все html, php файлы пишет iframe адресов, кстати несколько, а также рассылает спам и также брутфорсом пытается подобрать пароли к другим сервакам (кстати держит себя в папке с названием из пробелов).
Прошу не пинать, что я тупой и надо грамотнее администрировать сервер — я не администратор, денег на администратора нет, а сервера нужныю
Как защищался я
— ssh только по ключу (запретить авторизацию по паролю)
— изменить порт ssh
-запретить авторизацию root
— еще есть прикольная програмка ip2ban
две недели ничего плохого на сервере не творится, логи чисты
-простукивает ssh
-брутфорсом подбирает пароль на него (у меня пароль был автогенерирован, на 10 символов)
-потом ломится внутрь и запускает демон, который во все html, php файлы пишет iframe адресов, кстати несколько, а также рассылает спам и также брутфорсом пытается подобрать пароли к другим сервакам (кстати держит себя в папке с названием из пробелов).
Прошу не пинать, что я тупой и надо грамотнее администрировать сервер — я не администратор, денег на администратора нет, а сервера нужныю
Как защищался я
— ssh только по ключу (запретить авторизацию по паролю)
— изменить порт ssh
-запретить авторизацию root
— еще есть прикольная програмка ip2ban
две недели ничего плохого на сервере не творится, логи чисты
Неужели реально пробрутить пароль из 10 символов разного регистра со знаками препинания?
я сам был в шоке. лог 20Гб, на сервер забивал всего на 2 месяца
ну в смысле не использовал его
Я бы предложил все упростить: сделать возможность повторного ввода пароля на сервер раз секунд в 5… и оттянуть момент подбора в глубину времен :) Ну а после 1000 неправильных вариантов — бан ip.
Я не как администратор, а как программист это предлагаю. Наверняка есть такие реализованные решения.
Я не как администратор, а как программист это предлагаю. Наверняка есть такие реализованные решения.
На 8080 стоит уязвимый веб-сервер (напр., backend-сервер, который забыли закрыть), через который на машину устанавливают спам-бот (который рассылает спам через 25й порт, как и положено). Или сам этот веб-сервер тоже подсажен вместе с ботом для работы в качестве командной оболочки — ну вместо телнета, т.к. коннекты к телнет/ssh-портам часто либо закрыты, либо ограничены доверенной сетью. Или просто потому что новому поколению хакеров веб-интерейс ближе телнета :)
Про спам тут просто неверный перевод.
В статье написано, что если хакерам удалось установить вебсервер, то технически нет никаких преград заставить взломанный сервер (не nginx) заниматься и прочей деятельностью, присущей классическим ботнетам, как то рассылкой спама, DDOS атаками, и т.д. Однако в настоящий момент этому нет никаких подтверждений.
В статье написано, что если хакерам удалось установить вебсервер, то технически нет никаких преград заставить взломанный сервер (не nginx) заниматься и прочей деятельностью, присущей классическим ботнетам, как то рассылкой спама, DDOS атаками, и т.д. Однако в настоящий момент этому нет никаких подтверждений.
Ддосы с серверных ботнетов я уже получал. Хороший хостер спас.
линукскапец близок
Что-то не совсем понятно, каким образом веб-сервера заражаются, и что этот ботнет в принципе делает.
Насколько мне известно под заражение попали те сервера на которых был nginx и все «зомби» заражались вручную.
Т.е. ничего по сути не поменялось — как заражали вручную, так вручную и заражают. Как в баяне про молдавский вирус:-) (http://www.server.md/forum/viewtopic/1099/forum/24/)
Ну вроде человек выше показал, что какбе не совсем вручную: habrahabr.ru/blogs/web_security/69586/#comment_1983394
НЛО прилетело и опубликовало эту надпись здесь
Ботнет на ксен это сильно :) паразитная виртаульная машина.
Если хоть иногда загалдывать в /va/log/messages то можно увидеть тасячи коннектов по ssh, у меня иногда было несколько десятков в минуту. Так что превед админам с паролем 111 и юзерами test test в группе wheel.
от таких лишних коннектов спасает нестандартный порт sshd
но пароль — да, на стойкость проверять надо, а лучше вообще запретить авторизацию по паролю извне — ключики ведь есть
но пароль — да, на стойкость проверять надо, а лучше вообще запретить авторизацию по паролю извне — ключики ведь есть
Ну просканить порты тоже просканят :) Я думаю самое лучшее это запретить вход руту и иметь нетривиальные пароли для юзеров. Ну ещё кикстарт можно.
уж лучше тогда 2 ssh, один на 22м, с отключенным PAM нахрен. Второй — уже где хочется (тока не на 8022, боже упаси). Чтоб не разозлить никого ненароком =).
кстати хорошая идея — причем на 22 лучше вешать какой-нить stateless-иммитатор sshd чтобы при скане ресурсов меньше потреблял, чем настоящий демон
ну это уже, имхо, экономия на спичках =). Всего-то нужно поставить в этом ssh на 22-м порту авторизацию только по внешнему ключу и всё. Стукнутся разок, вздохнут и оставят в покое.
Да, для 99% случаев этого более чем достаточно.
На моих серверах порт существенно нестандартный, плюс отсутствие стандартного приглашения sshd чтоб при скане не палился, а на 22м вообще ничего не висит — логи радуют отсутствием лишних записей :)
На моих серверах порт существенно нестандартный, плюс отсутствие стандартного приглашения sshd чтоб при скане не палился, а на 22м вообще ничего не висит — логи радуют отсутствием лишних записей :)
Вы не в курсе, не существует ли эдакого интернет-проекта четкого сборника советов позиционированных по двум плоскостям «что защищать» и «от чего защищать» (иными словами — не просто список советов, а вот примерно в такой ипостаси)? И для linux/bsd в целом и для популярных технологий (тот же php или python для сайтов) в частности?
Наверное, понятно какая идея мне пришла в голову =) Я уже подзапарился вспоминать иногда древние уловки — а так хоть структуировать получилось бы. И обсудить, само собой…
Наверное, понятно какая идея мне пришла в голову =) Я уже подзапарился вспоминать иногда древние уловки — а так хоть структуировать получилось бы. И обсудить, само собой…
Навскидку — не припомню, но действительно полезно было бы. Важно только чтобы в таком проекте был жесткий механизм отбора советов — базовых ведь довольно немного, и уже в рамках одного совета можно примеры использования выкладывать.
Например тут — совет выглядит как «хочешь что-то спрятать — положи в другом месте и замаскируй»
Вспомнилось:
Например тут — совет выглядит как «хочешь что-то спрятать — положи в другом месте и замаскируй»
Вспомнилось:
ну начинаться должно все равно с четкого совета «спрячьте ssh». А там уж способы. Ибо моё мнение — такое делать надо вообще на любом сервере в принципе, по крайней мере там, где авторизация не только по внешним ключам.
Там же и советы от ddos-а можно было бы, а то нынче эта тема уж больно популярна.
Главное — четкая каталогизация, чтобы вместо того чтобы рыскать в поисках защиты штуки ИКС, можно было бы поглядеть например по тегам программ и все.
В принципе, на первых порах это может быть просто mediawiki, хоть там и жутко неудобно обсуждать. Чешу репу =). Одна из немногих вещей, которые хочется сделать для собственного удобства, а не для $$.
Там же и советы от ddos-а можно было бы, а то нынче эта тема уж больно популярна.
Главное — четкая каталогизация, чтобы вместо того чтобы рыскать в поисках защиты штуки ИКС, можно было бы поглядеть например по тегам программ и все.
В принципе, на первых порах это может быть просто mediawiki, хоть там и жутко неудобно обсуждать. Чешу репу =). Одна из немногих вещей, которые хочется сделать для собственного удобства, а не для $$.
а картинка — да… хотя если когда-то у меня были печальные эмоции по этому поводу, потом слегка насмешливые… то теперь… сочувствие лишь наверное =).
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --update --seconds 30 -j DROP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --set -j ACCEPT
пара строк в файерволе, и перебор паролей идет лесом.
PS. В кратце — коннект на 22 порт не чаще чем раз в 30 секунд, если чаще — бан с обнулением времени таймера при каждой следующей попытке.
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -m recent --set -j ACCEPT
пара строк в файерволе, и перебор паролей идет лесом.
PS. В кратце — коннект на 22 порт не чаще чем раз в 30 секунд, если чаще — бан с обнулением времени таймера при каждой следующей попытке.
denyhosts помогает — блочит черере /etc/host.deny такие брутфорсящие адреса
да тут вся статья «привет админам». Как можно nginx не заметить? =)
А вы пробовали когда-нибудь администрировать больше 100 серверов в одно лицо? :)
пробовал и пробую. И тем более — если это ферма из одинаковых серверов, то даже разный ps на 1 из серверов — уже повод бить тревогу. А способов запустить что то на 100 серверах сразу — великое множество, сами знаете.
момент номер два — я когда то 40 серверов обслуживал — обновлял ядра каждые 2 дня на 1 сервере (т.е. вся ферма — за 80 дней). Иногда чуть больше, но четко не меньше. Обновление такое явно делается руками (gentoo) с пересборкой самого ядра. Ну и фоном пока собиралось — пробежаться глазами по логам и тп… и всё =)
момент номер два — я когда то 40 серверов обслуживал — обновлял ядра каждые 2 дня на 1 сервере (т.е. вся ферма — за 80 дней). Иногда чуть больше, но четко не меньше. Обновление такое явно делается руками (gentoo) с пересборкой самого ядра. Ну и фоном пока собиралось — пробежаться глазами по логам и тп… и всё =)
а если работать не универсалом, а конкретно админом, то, я думаю, больше десятка серверов в день можно руками анализировать на предмет аномалий. нет?
Ферма — это хорошо :) Но бывает и зоопарк, в общем разные случаи бывают — где-то сервер затерялся, где-то админа грузят по полной и не дают ему нормально все сделать и т.п.
А конкретный админ — да, обязан с утра не к кофе тянуться, а к логам :) Ну, и когда серверов полно, то всяко выделенный лог-сервер нужно иметь хотя бы на authpriv.*
А конкретный админ — да, обязан с утра не к кофе тянуться, а к логам :) Ну, и когда серверов полно, то всяко выделенный лог-сервер нужно иметь хотя бы на authpriv.*
переименовать в ./bla-bla-bla и запустить. Чтобы открыть 8080 порт админских прав не требо.
блин ну я понимаю в windows можно не заметить что-то. Но в linux-то как!? Хотя может это мое собственное ощущение — я гентушник, а если систему собираешь сам, то любые касяки/левые процессы видишь моментально. Я уж не говорю что каждый раз механически поглядываю в netstat -lntp ещё со времен россказней про «первый вирус под linux!».
В оригинальной статье «который занимается рассылкой спама и вредоносного ПО через порт 8080» по ходу отсутствует. Там сказано «кто знает, чем может заниматься этот ботнет? может рассылкой спама, а может и распространением вредоносного ПО».
Да и сама англицкая статья не блещет техническими точностями. Для компиляции софта рутовые права совсем не нужны, как и для того, чтобы подвеситься слушать порт 8080.
Да и сама англицкая статья не блещет техническими точностями. Для компиляции софта рутовые права совсем не нужны, как и для того, чтобы подвеситься слушать порт 8080.
Интересно, после этого все равно найдутся малолетние 'энтузиасты', которые будут надрываться про то, что «на линуксе вирусов нет по определению», а значит защищаться им не нужно?
есть сайт spectehinka.lg.ua/forum — там чо то сидит внизу — не могу выкорчевывать… в коде страницы этого нет (гляжу через фтп)… а при отдаче по апачу — есть… нид хелп, уже хз чо делать, сайтовики говорят ставь каспера, но мну нельзя, есть лицензионный нод, да и авз и карытом проверил — ничо нету…
фейл в ссылке — правильная spectehnika.lg.ua/forum
Да с чего вы вообще взяли что это боты? а может просто взломали в конец нужных файлов автоматизированно добавил нужный фрейм и всё, причём тут ваще боты и фреймы ?, ты ни как серверу не прикажешь вконец вывода потока добавлять фрейм, что за глупости?
Меня вот то же как один хостер обозвал самым крупным червём, но делал то я всё ручками.
Меня вот то же как один хостер обозвал самым крупным червём, но делал то я всё ручками.
Прозреваю флейм на пару сотен комментов минимум, с участием в основном тех, кто не прочитал ничего кроме самой «новости» (с изрядной долей тех, кто не прочитал ничего кроме заголовка :))
Передайте Денису Синегубко, что он вообще нихрена не в теме. Топикстартер, кстати, тоже.
Реальная ситуация:
1) размещаются или заражаются несколько сайтов, путем внедрения iframe кода.
2) с подгрузкой содержимого iframe подгружается вредоносный код — буквально 2 недели назад и последняя версия firefox его пропускала
3) загруженная на машину жертвы программа ворует пароли к ftp или с firefox, или с filezilla, или с keepass (маловероятно) — откуда именно, так и не разобрался
4) и отдает пароли хозяину
5) хозяйская машина лезет на все хосты, от которых у нее есть пароли
6) в случае удачи соединения, рекурсивно открывает файлы index.php, index.html и еще некоторые по шаблону встраивая туда iframe код и сохраняя
7) зараженный сайт начинает заражать компьютеры посетителей
8) goto п. 1
Ахринительно опасная вещь.
Реальная ситуация:
1) размещаются или заражаются несколько сайтов, путем внедрения iframe кода.
2) с подгрузкой содержимого iframe подгружается вредоносный код — буквально 2 недели назад и последняя версия firefox его пропускала
3) загруженная на машину жертвы программа ворует пароли к ftp или с firefox, или с filezilla, или с keepass (маловероятно) — откуда именно, так и не разобрался
4) и отдает пароли хозяину
5) хозяйская машина лезет на все хосты, от которых у нее есть пароли
6) в случае удачи соединения, рекурсивно открывает файлы index.php, index.html и еще некоторые по шаблону встраивая туда iframe код и сохраняя
7) зараженный сайт начинает заражать компьютеры посетителей
8) goto п. 1
Ахринительно опасная вещь.
Это всё проделки Балмера!
Насколько я понимаю, речь идёт об этой схеме работы images.kaspersky.com/ru/vlill/golov_spambot0909_pic11.png. Рядом лежит описание www.securelist.com/ru/analysis/208050559/Fabrika_nazhivy
На самом деле серверы взламываются, заливаются различного рода программки, которые и занимаются тем, чем им «прикажут» их владельцы.
Не далее как месяц назад хороший товарищ попросил проверить сервер на наличии вредоносного ПО — хостер ругался на паразитный трафик. Чего я там только не нашел… начиная шелом на php, заканчивая могучими и тяжеловесными бинарниками, которые рассылали спам, долбили кого-то по 22 порту, флудили на 80 порты как минимум 20 (!!!) серверов. Но это все равно не повод на мой взгляд объявлять о появлении «Linux- ботнетов». Такой ботнет существовал всегда — сколько не внимательных и не особо грамотных администраторов, столько и зомби, причем не важно — сервер это, или простая персоналка под управлением не важно чего.
Не далее как месяц назад хороший товарищ попросил проверить сервер на наличии вредоносного ПО — хостер ругался на паразитный трафик. Чего я там только не нашел… начиная шелом на php, заканчивая могучими и тяжеловесными бинарниками, которые рассылали спам, долбили кого-то по 22 порту, флудили на 80 порты как минимум 20 (!!!) серверов. Но это все равно не повод на мой взгляд объявлять о появлении «Linux- ботнетов». Такой ботнет существовал всегда — сколько не внимательных и не особо грамотных администраторов, столько и зомби, причем не важно — сервер это, или простая персоналка под управлением не важно чего.
теперь можно ещё написать демона который будет проверять наличие таких строк в файлах на хостинге и создать фирму по обновлению базы таких ссылок =)
Польщает выбор nginx :)
Так и не ответили сколько машин в ботнете!
Интересно, есть ли ботнеты, у которых есть модули для Линукса и Винды? Чтобы бить со всех сторон.
Интересно, есть ли ботнеты, у которых есть модули для Линукса и Винды? Чтобы бить со всех сторон.
НЛО прилетело и опубликовало эту надпись здесь
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ботнет из Linux-серверов