ReSQL.ru
     
powered by simpleCommunicator - 2.0.59     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
19 сообщений из 19, страница 1 из 1
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37859595
ViktorWM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ViktorWM
Участник
вот блин новость: атаковали мой сервак злобные хакеры похоже, т.к. мой провайдр получает от кого-то гневные жалобы что сканят их порты с моего вирт.сервера. Грозится отрубить.
я вроде увидел реально чужой ("вирус") процесс ps -ef | grep pnscan

jboss 26412 20313 0 Jun27 ? 00:00:00 sh -c ./pnscan -r JBoss -w "HEAD / HTTP/1.0\r\n\r\n" -t 6400 154.50.0.0/16 8080 > /tmp/sess_0088025412980485938597bff60174
jboss 26413 26412 0 Jun27 ? 00:00:01 ./pnscan -r JBoss -w HEAD / HTTP/1.0\r\n\r\n -t 6400 154.50.0.0/16 8080

а кстати - как найти сам зловредный файл шпион-программы?

P.S. посоветуйте плиз - где скачать хороший бесплатный антивирус для Линукс??
...
Рейтинг: 0 / 0
29.06.2012, 02:16
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37859834
Фотография bga83
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
bga83
Участник
ViktorWM,

антивирус тут не поможет уже. Можно конечно прогнать сервер на предмет руткитов, бекдоров и пр. Но крайне высока вероятность что эффекта почти не будет, потому как не исключено, что ряд критичных файлов уже подменен. ИМХО надежнее на новый сервер перенести приложения, и его нормально защитить.
...
Рейтинг: 0 / 0
29.06.2012, 10:32
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37860002
VGrey
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
VGrey
Гость
Что за пользователь jboss в системе, от которого это работает?
...
Рейтинг: 0 / 0
29.06.2012, 11:53
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37860082
miwaonline
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miwaonline
Участник
ViktorWM,

Тут не антивирус, а антируткит нужен. chrootkit например, и/или rkhunter.
...
Рейтинг: 0 / 0
29.06.2012, 12:30
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37860228
Вообще-то
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вообще-то
Гость
miwaonlineViktorWM,

Тут не антивирус, а антируткит нужен. chrootkit например, и/или rkhunter.

Вообще-то там AntiViktorWM, нужен, начнем с этого.
...
Рейтинг: 0 / 0
29.06.2012, 13:31
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37860229
beza2000
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
beza2000
Гость
ViktorWM,

я так понимаю, что pnscan находится в домашнем каталоге пользователя jboss.
Не знаю чем тут поможет антивирус, а я бы расследовал, кто как и когда занес/запустил pnscan.
Если пароль у пользователя jboss простой, то, вероятно, что подобрали.
Но возможно, используется какая-нибудь дыра в JBoss - т.е. его нужно регулярно обновлять.
...
Рейтинг: 0 / 0
29.06.2012, 13:32
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37861073
Фотография Relic Hunter
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Relic Hunter
Участник
bga83ряд критичных файлов уже подменен.Если жбос крутится не под рутом, то вряд-ли...
...
Рейтинг: 0 / 0
29.06.2012, 18:54
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37861102
Мутаген
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Мутаген
Гость
JBoss - корпоративный г-нософт. За стены файервола его нельзя выпускать.
http://joinup.ec.europa.eu/software/openeprior/topic/security-problems-jboss-and-pnscan

https://community.jboss.org/message/632603?tstart=0&_sscc=t
https://access.redhat.com/knowledge/solutions/30744

Зато у тредстартера будет полезный опыт, хехе.
...
Рейтинг: 0 / 0
29.06.2012, 19:16
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37861615
ViktorWM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ViktorWM
Участник
Relic Hunterbga83ряд критичных файлов уже подменен.Если жбос крутится не под рутом, то вряд-ли...

не, jboss as крутиться под линукс-юзером jboss! Запускать его под рутом - это было бы "последнее дело!" )))
...
Рейтинг: 0 / 0
30.06.2012, 17:04
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37861616
ViktorWM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ViktorWM
Участник
МутагенJBoss - корпоративный г-нософт. За стены файервола его нельзя выпускать.


да прямо таки! ))) У кучи контор он вполне себе за стенами файервола успешно живет! Причем годами. Только так матерые сисадмины его защищают, а я пока нАвичек в сабже!
...
Рейтинг: 0 / 0
30.06.2012, 17:06
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37861623
ViktorWM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ViktorWM
Участник
beza2000 а я бы расследовал, кто как и когда занес/запустил pnscan.
можешь в деталях поведать - КАК ТАКОЕ ДЕЛАЮТ?!!! (или сцылку на ртфм)

beza2000Если пароль у пользователя jboss простой...
да не особо... ;-)

Как идея: Запретить все TCP-output-ы на уровне файервола сервера (через PLESK-консоль есть у меня возможность), за исключением IP-адреса сервера базы данных! (которая JBOSS AS cерверу постоянно нужна естессно!). Или это бред?
(тогда эти руткиты (или как их там) будут только безвредно крутиться, хоть и отжирать слегка цпу/память...)
...
Рейтинг: 0 / 0
30.06.2012, 17:14
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37861713
miwaonline
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miwaonline
Участник
ViktorWMbeza2000 а я бы расследовал, кто как и когда занес/запустил pnscan.
можешь в деталях поведать - КАК ТАКОЕ ДЕЛАЮТ?!!! (или сцылку на ртфм)

Фраза «поиск руткитов linux», забитая в любимый поисковик, даст целую кучу РТФМ-ов и деталей.
...
Рейтинг: 0 / 0
30.06.2012, 19:18
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37861715
miwaonline
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miwaonline
Участник
ViktorWMКак идея: Запретить все TCP-output-ы на уровне файервола сервера (через PLESK-консоль есть у меня возможность), за исключением IP-адреса сервера базы данных!
Тогда удаленно на этот сервер можно будет попасть только из ІР сервера базы данных. Идея как идея, вопрос только в том, этого ли ты хотел :)
...
Рейтинг: 0 / 0
30.06.2012, 19:20
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37861718
ViktorWM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ViktorWM
Участник
miwaonlineViktorWMКак идея: Запретить все TCP-output-ы на уровне файервола сервера (через PLESK-консоль есть у меня возможность), за исключением IP-адреса сервера базы данных!
Тогда удаленно на этот сервер можно будет попасть только из ІР сервера базы данных. Идея как идея, вопрос только в том, этого ли ты хотел :)

а, ну да + разумеется IP домашнего компа, с которого я этот сервак типа администрю! )))

(HTTP-запросы к jboss-cерверу - с множества разных компов разумеется - тут не в счёт, или как? Или на них тоже TCP-запрет распостраняется?!!)
...
Рейтинг: 0 / 0
30.06.2012, 19:26
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37861732
miwaonline
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miwaonline
Участник
ViktorWM,

Все в счет. ТСР/ІР в обе стороны ходит :)
...
Рейтинг: 0 / 0
30.06.2012, 19:56
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37861746
ViktorWM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ViktorWM
Участник
miwaonlineViktorWM,

Все в счет. ТСР/ІР в обе стороны ходит :)

ясно, значит это отпадает! Теперь бы понять, кто запускает pnscan ???!
...
Рейтинг: 0 / 0
30.06.2012, 20:34
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37861761
ViktorWM
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ViktorWM
Участник
хм, стоило поменять пароль на линукс-юзере jboss, как атаки с моего сервака похоже прекратились!
(во всяком случае lsof -ni не показывает список pnscan-ов долбящих по разным рандомным адресам!)

Получается, что кто-то как-то дергал pnscan из вне, не будучи резидентом??!
Что скажите, спецы?
...
Рейтинг: 0 / 0
30.06.2012, 21:09
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37861801
miwaonline
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
miwaonline
Участник
ViktorWM,

Кто-то узнал/пробрутфорсил пароль и втихаря что-то мутил :)
...
Рейтинг: 0 / 0
30.06.2012, 21:55
| Ответить | Цитировать | Написать  
взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
    #37866023
beza2000
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
beza2000
Гость
ViktorWM,

не знаю - актуально еще или нет..
Необходимо понять - как занесли pnscan.
Сам JBOSS не ставил и не эксплуатирую, поэтому как такое возможно через JBOSS не подскажу (в моем представлении, это почти как подобно сайтам на php и perl).
Возможны минимум 2 пути внедрения - или через возможности (или дырок в коде) JBOSS по копированию/размещению файлов, или через стандартные ssh/scp/sftp или подобное для управления сервером.
Если через JBOSS- то, как полагаю, через логи JBOSS (если еще остались).
Если через ssh и подобное, то возможны следы остались в логах и надо знать, чем ходите.
Самое простое посмотреть вывод last и решить - а все ip правильные, могли ли люди заходить в данное время и т.д.
...
Рейтинг: 0 / 0
04.07.2012, 14:04
| Ответить | Цитировать | Написать  
19 сообщений из 19, страница 1 из 1
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / взломали похоже вирт. сервер Линукс (СentOS). + посоветуйте хороший антивирус для Линукс
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru       Новости, Чат       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=25&msg=37860228&tid=1483476]:
 0ms
get settings:
 10ms
get forum list:
 15ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 157ms
get topic data:
 9ms
get forum data:
 2ms
get page messages:
 55ms
get tp. blocked users:
 1ms
others: 237ms
total:  494ms
созд. / загр.: 494ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]