centos 7 в /var/log/ все папки стали файлами / Unix-системы

2.0.38

Полная версия Контакт Правила FAQ Помощь

Гость

Нов. | Гор. | Избр.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / centos 7 в /var/log/ все папки стали файлами / 18 сообщений из 18, страница 1 из 1

10.05.2016, 10:53

#39232148

xMailer

Участник

Сообщения: 90
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

Хост виртуальный (azure), достался по наследству. На борту Centos 7, все обновления сделаны.
В какой-то момент времени хост невероятно замедляется, обращает на себя внимание в процессах питоновское приложение грузит комп, возможно это штатный в 7-ке процесс.
Выполняю перезагрузку, как минимум httpd и mariadb не стартуют, journalctl -xe говорит о невозможности создать в /var/log/... файлы журналов. По каким-то причинам все папки в /var/log стали файлами.
Делаю папки вручную, стартую процессы, все ок.
Спасибо.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

11.05.2016, 04:10

#39232934

AndreyTarasov

Участник

Откуда: ...из лесу вестимо
Сообщения: 170
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

xMailer,

значит где-то работает самопальный скрипт, который удаляет папки
возможно умышленная закладка.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

11.05.2016, 10:45

#39233097

xMailer

Участник

Сообщения: 90
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

Andrey, посоветуйте, что можно сделать в такой ситуации (никогда с таким не сталкивался):
1. искать скрипт и смотреть что он делает, попытаться восстановить файлы и папки исходя из алгоритма работы скрипта
2. переустановка linux, максимально сложные пароли, ограничения по доступу

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

11.05.2016, 14:37

#39233423

k-nike

Участник

Откуда: Левый берег
Сообщения: 2 079
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

xMailerобращает на себя внимание в процессах питоновское приложение грузит комп, возможно это штатный в 7-ке процесс.
Какое приложение-то?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

12.05.2016, 04:15

#39233900

AndreyTarasov

Участник

Откуда: ...из лесу вестимо
Сообщения: 170
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

xMailer,

действительно - что за процесс?

и если папки стали файлами - в этих файлах что-нибудь есть?

а поиск проблемы, не тривиальная задача.... хоть умышленно, хоть криворукость - не важно

Все зависит от того что там установлено, один из вариантов - статистика падения и возможность отключить сервисы по очереди

т.е. если падает раз в сутки - отрубаешь 1 сервис и ждешь пару суток, потом другой если проблема не ушла и т.д., после этого разбираешься в проблеме

для начала отруби вэб-сервер и посмотри

еще вариант - конфиг для logrotate самопальный.... накатали с ошибками, он и касячит

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

12.05.2016, 12:00

#39234169

vangof

Участник

Сообщения: 39
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

1)Смотрите что крутиться из процессов подозрительное, какие ресурсы загружают cpu -ps aux, top, htop
2)Если все нормально, то дальше анализируйте сетевую подсистему. netstat -an, sockstat.Также посмотрите логи firewall
3)Если ничего подозрительно нету, то устанавливайте rkhunter.Возможно у вас в системе поселился рутник или прочая скрытая нежить.
4)Еще есть способ - загрузить систему в безопасном однопользовательском режиме, и анализируйте запуск служб, демонов rc.d.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.05.2016, 13:40

#39235128

xMailer

Участник

Сообщения: 90
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

Большое спасибо за ответы. Понаблюдаю, просто проблема в том, что хост должен работать прямо сейчас, а там такая байда. И последние 3 дня он работает нормально без каких либо замедлений, но все равно постоянно сыпятся root-у сообщения об отсутствии log папок типа "Cannot open /var/log/sa/sa13: Not a directory".

Насчет питоновского процесса, все ок, оказывается это azure агент.

Вот что в /var/log папки httpd и mariadb созданы мною вручную, размер файлов был 0.

Вот результат top

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

13.05.2016, 21:13

#39235569

netwind

Участник

Сообщения: 14 195
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

xMailer, тут подозрительно все. Нормальный программист вряд ли назовет программу "tmp" и "ss" и будет запускать ее от root.
Если предназначение этой состояло в хостинге сайтов, такого ничего не должно быть. Можно попытаться таки найти эти файлы и проанализировать. Видимо там все "порутали" - нашли уязвимость и запускают программы с уровнем доступа root.

Забирайте данные сайтов и делайте перенос на чистую систему. Все остальное непрактично. Никто даст гарантии где именно закладка.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

14.05.2016, 17:32

#39235792

vangof

Участник

Сообщения: 39
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

А что за процесс ss от root, загружающие cpu на 18,9%?!Особенно учитывая, что он практически не использует виртуальную память и запущен 36 мин.Посмотрите, случайно не от него происходят fork процессы заняты в /tmp?Если они исполняются с уровнем доступа id 1000...
Кошмар полный, что у вас на сервере творится.Если я на своем серваке увидел такую картину, то мне очень сильно захотелось потянуть руки к револьверу.
1)Как соверовали выше, легче всего переуставновить систему с нуля, buckap основную информацию, а потом dd if=/dev/null of=/dev/sdax.
2)Если восстанавливать систему полностью, то здесь нужен серьезный спец с очень хорошим опытом, да и после его работы, далеко не факт, что не останется скрытых дыр.
Можно дальше копать, но здесь огромная масса всевозможных безд, в которых можно захлебнуться и потерять свое время и нервы.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

15.05.2016, 13:33

#39235989

mayton

Участник

Откуда: loopback
Сообщения: 53 422
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

Вроде ss - это аналог netstat.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

15.05.2016, 22:46

#39236172

xMailer

Участник

Сообщения: 90
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

коллеги, спасибо всем, разобрался, докладываю - это был троян, ссылка1 , ссылка2
единственная разница от лечения в статьях, мне пришлось очистить код bash cron скрипта, сделать chattr -i /etc/cron.hourly/рандомный.bash ребутнуть хост и только после этого перейти к чистке /etc/cron.*/ и /etc/rc.d/*, если этого не далал, то рандомный скрипт в cron все равно формировался.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

15.05.2016, 22:51

#39236174

xMailer

Участник

Сообщения: 90
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

единственный вопрос, могли ли мои действия слить парольный root доступ на хост: я на данном хосте разрешил root login и задал достаточно не сложный буквенно-цифровой пароль, 6 знаков, а именно 1q2w3e.

Реально ли то, что с таким паролем мог быть посеян троян, но никогда реально не сталкивался этим, поэтому конечно не могу утверждать.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

15.05.2016, 23:14

#39236187

Sergey Orlov

Участник

Откуда: СПб
Сообщения: 4 520
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

xMailerединственный вопрос, могли ли мои действия слить парольный root доступ на хост: я на данном хосте разрешил root login и задал достаточно не сложный буквенно-цифровой пароль, 6 знаков, а именно 1q2w3e.

Реально ли то, что с таким паролем мог быть посеян троян, но никогда реально не сталкивался этим, поэтому конечно не могу утверждать.
Абсалютно реально... Ты сделал все, чтобы тебя поломали, я и про пароль и про root'а, хорошо, что только один троян был, ты все таки посмотрел бы повнимательнее, я бы все снес и с нуля поставил...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

15.05.2016, 23:22

#39236190

mayton

Участник

Откуда: loopback
Сообщения: 53 422
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

Этот пароль встречается в списках типа top 100 worst common passwords, e.t.c.

http://eomix.blogspot.com/2008/07/most-common-passwords.html

Вобщем история показала что история...

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

16.05.2016, 00:24

#39236201

netwind

Участник

Сообщения: 14 195
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

xMailerколлеги, спасибо всем, разобрался, докладываю - это был троян
То есть, переустановка не сделана ?
Нет, не разобрался.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

16.05.2016, 10:42

#39236318

xMailer

Участник

Сообщения: 90
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

Sergey OrlovТы сделал все, чтобы тебя поломали...
просто не мог предположить, что это кому то нужно. Проект только стартует, там ломать нечего, голая ось.

netwindТо есть, переустановка не сделана ?
Нет, не разобрался.
просто вычистил cron задачи, удалил левые скрипты, сменил пароли, закрыл root доступ. Сейчас наблюдаю за процессами, пока все хорошо.
В будущем конечно переустановлю ось.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

16.05.2016, 10:54

#39236332

miksoft

Участник

Сообщения: 36 746
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

xMailerпросто не мог предположить, что это кому то нужно.Ломают не потому что нужен именно ваш сервер, а потому что нужны хосты для различных ботнетов. Множество ботов тупо по порядку "обстукивает" весь интернет на предмет уязвимостей. Если что-то могут заразить сами - делают, где не могут - пишут "интересные места" в лог для человека.
Т.е. ваш сервер вполне мог заразить автоматический скрипт, а вовсе не живой человек.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

16.05.2016, 17:59

#39236837

mayton

Участник

Откуда: loopback
Сообщения: 53 422
Рейтинг: 0 / 0

centos 7 в /var/log/ все папки стали файлами

miksoftавтоматический скрипт, а вовсе не живой человек.
Нашел слова утешения

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&tablet=1&tid=1481735]:	0ms
get settings:	10ms
get forum list:	14ms
check forum access:	3ms
check topic access:	3ms
track hit:	33ms
get topic data:	13ms
get forum data:	3ms
get page messages:	55ms
get tp. blocked users:	2ms
others:	275ms

total:	411ms