Вхід і реєстрація
Розробка · 27 грудня 2015, 20:31 728
Yuriy Gerasimov, Lead Developer в ImageX

regBot ubuntu

Підписуйтеся на Telegram-канал «DOU #tech», щоб не пропустити нові технічні статті

Привет

Столкнулся с проблемой, что мои сервера на Digital Ocean (Ubuntu 14.04×64) регулярно хакают. Получаю abuse complaint что они (сервера) делают атаки regBot и за это их естественно отключают от сети.

На виртуалках крутится selenium, supervisor и php. И больше ничего. Обновил систему, настроил фаервол, который пропускает из вне только 22 порт.

Подскажите пожалуйста если кто сталкивался с подобной проблемой. Может знаете какой уязвимостью пользуются для создания regBot сетей.

Спасибо
Юрий

Теми: regBot, Ubuntu, безпека, вразливість
👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn

Схожі топіки

Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Oleg Korol POWER Ops, again 28.12.2015 19:37
настроил фаервол, который пропускает из вне только 22 порт.
ограничьте source IP для SSH только теми адресами, с которых будете заходить сами
если подключаетесь с мобильных операторов — их IP-пулы тоже известны, работы конечно будет больше, но по крайней мере из Китая уже по SSH не залогинятся
но уязвимости в самом SSH достаточно редки и быстро патчатся, после того как о них становится известно, обычно проблема в самих приложениях
Відповісти
Підтримати
Serhii Cherepanov ... 28.12.2015 17:34

1 — Создавать дроплеты без пароля (авторизация по ключу)
2 — установить fail2ban
3 — закрыть все порты кроме необходимых, унести ssh c 22-го
4 — удалить sudo
5 — запретить руту логин по ssh
6 — запускать софт только в контейнерах (lxc, docker)

Сам выполняю только пункт 1, и за последние пару лет, ни единого разрыва :) но я не запускаю вордпресы и прочие решето. С ними обязательно пункт 6.

Відповісти
Підтримати
Serhii Cherepanov ... 28.12.2015 21:35

Да, если удалять судо и запрещать вход по ssh то нужен пароль для рута. Хотя с другой стороны, если юзать core-os то и не нужен. Там как бы под рутом все равно нечего делать.

Фактически правильно настроенная СoreOS способна реализовать весь список без ущерба для функциональности.

Відповісти
Підтримати
anonymous
Valiantt Jeff 28.12.2015 11:34

Что-то вы свалили сюда все, что не поняли как произошло, имхо. Я имею ввиду новосозданный сервер, IP которого мог 5 минут назад быть чьим-то другим, и даже был!
yum update связывать с брутфорсом что-то новенькое:)
3) исключает 1)
2) Если вы не заходите под паролем, то не значит вы отключили эту возможность! По крайней мере из пункта непонятно!
Откройте для себя fail2ban

Відповісти
Підтримати
anonymous
Oleg Korol POWER Ops, again 28.12.2015 19:49
Цікаво як вони знаходять хоча б ІР новоствореного сервака.
навряд чи хтось шукає ПЕРСОНАЛЬНО Ваш сервер
просто в наші часи дійсно величезна кількість хостів постійно сканує мережу в пошуках потенційної жертви
Відповісти
Підтримати
anonymous
mobile mobile 28.12.2015 02:39

тут кто то писал что поднимает ВСД на линуксе у хостера и сразу на второей день идет безумный брутфорс (типа из китая), брутфорс такой что включенный лог разрастался до больших размеров за час. настройте доступ только с определенных айпи.

Відповісти
Підтримати
Andrii Serhiienko 27.12.2015 22:24

1. исследуйте логи — там должно быть хоть что-то
2. доступ по SSH сделайте через ключи и отключите доступ по паролю
3. переведите SSH на другой порт и используйте что-то типа fail2ban для борьбы с брутфорсом

Відповісти
Підтримати
Конь в Пальто 28.12.2015 01:26

Как правило ломается не ssh, а какое-то бажное приложение.

Відповісти
Підтримати
Andrii Serhiienko
Andrii Serhiienko 28.12.2015 09:38

Человек же сказал, что на сервере у него даже httpd нету, а снаружи пропускается только 22. Так вот, второй по популярности вариант — это тупой брутфорс ssh.

Відповісти
Підтримати
Конь в Пальто
Конь в Пальто 27.12.2015 21:51

Так вначале ломают, получают рута, или превышение полномочий на запуск , а уж потом ставят что хочется конкретному хозяину ботнета.

Скорее всего сломали через пхп.

Посмотрите что у вас в мир смотрит вообще. Определитеcь с кругом подозреваемых софтин и ищите.

Если ломают регулярно — дыра в софте используемом на всех ваших серверах.

Начните с апдейта системы.

Відповісти
Підтримати
Yuriy Gerasimov Lead Developer в ImageX 27.12.2015 22:16

Спасибо за идею с пхп. Там php не отрабатывает через веб сервер а просто работает как системный процесс. Веб сервера на серверах нет.

Систему обновил, но не помогло.

Как посмотреть что «в мир смотрит». Речь идет о netstat или о чем-то другом?

Відповісти
Підтримати
Конь в Пальто
Tim Tretyak ASM, TS Consultant в Hewlett Packard Enterprise 27.12.2015 23:27

nmap снаружи

Відповісти
Підтримати
Yuriy Gerasimov
Конь в Пальто 28.12.2015 01:25

В гугл забанили ?

askubuntu.com/...losed-port-on-my-computer

Если писец уже произошёл — ищите в системе левые процессы — я и апачи находил и постфиксы там, где их отродясь не было.

Посмотрите в /tmp , иногда там такие софтинки недочищают.

Відповісти
Підтримати
Yuriy Gerasimov
Jorzchyk Pushysty 28.12.2015 01:49
Если писец уже произошёл — ищите в системе левые процессы

Спорный совет, особенно для контейнера.
Слить данные, залить заведомо чистый образ, залить данные.

Відповісти
Підтримати
Конь в Пальто
Конь в Пальто 28.12.2015 02:38

Т.е. никому не интересно как оно туда попало?
Где гарантия что не устранив причину — человек не получит через час то же самое?

Відповісти
Підтримати
Jorzchyk Pushysty
Jorzchyk Pushysty 28.12.2015 16:26

Как предполагается искать причину на потенциально скомпрометированной системе?
Как вы будете проверять, что ps не фильтрует левые процессы? И что такое «левые» процессы (в Убунте)?

Слить образ и диффнуть относительно заведомо чистого, ок. Про-активно позакрывать проблемные места типа sshd и интерпретатора php.
Искать причину на месте, по живому, занятие сильно на любителя.
Не то чтобы это было совсем бесполезно, но по затратам-отдаче это далеко не лучший вариант.

Відповісти
Підтримати
Конь в Пальто
Valiantt Jeff 28.12.2015 11:32

а что в контейнере нельзя запустить левые процессы?:)

Відповісти
Підтримати
Jorzchyk Pushysty
Vladyslav Volkov Technical Fellow в Hiberbee 28.12.2015 15:14

Ну его как минимум нужно пересобрать и перезапустить.

Відповісти
Підтримати
Valiantt Jeff
Valiantt Jeff 28.12.2015 15:33

Зачем? Что мне мешает скачать свой скрипт, после того как я оказался внутри контейнера? Ну и запустить после этого?

Відповісти
Підтримати
Vladyslav Volkov
Serhii Cherepanov ... 28.12.2015 21:43

В теории readonly файловая система и/или без прав на выполнение :)

Відповісти
Підтримати
Valiantt Jeff
Serhii Cherepanov ... 28.12.2015 21:51

Ну если захотеть, то есть даже на половину готовые решения coreos.com

Відповісти
Підтримати
Valiantt Jeff

Підписатись на коментарі

Не підписуватись
Скористайтесь акаунтом
×
з умовами використання сайту і політикою конфіденційності.