anonymous@RULINUX.NET~# | Last login: 2024-12-25 23:32:46 |
Регистрация Вход | Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск |
Форум - Rulinux.net | [RSS] |
В общем, в один прекрасный момент сайт стал сообщать, что не может соединиться с базой данных. Раньше такого не было, и я решил быстро зайти и посмотреть, что же там произошло. Зайдя внутрь, я решил перезапустить постгрес для надёжности, ну а постгрес же запускаться отказывался. После непродолжительного тыканья палочкой постгреса оказалось, что директория с данными /var/lib/pgsql пуста. После чего был созван консилиум в аварийно созданной джаббер-конференции [email protected]. Дальнейшее расследование выявило вот что.
Неизвестный хакер какое-то время назад зашел под постгресом по ssh, закинул свой сертификат в ~/.ssh (тут ~ - /var/lib/pgsql), поставил некий софт для irc (psybnc), и, через какое-то время, ликвидировал всё, сделав живительный rm -rf. От него остался .bash_history, кусок которого можно посмотреть тут.
В результате база сайта перестала существовать. Бэкапов на сервере тоже не оказалось (да и откуда), но у хостера остались снапшоты всей системы за последнюю пару дней. Поковыряв немного полумёртвый сервер, было решено восстановить свежий снапшот, взять оттуда ценные данные вроде базы, и переустановить всё заново, во избежание. Что и было произведено ночью (по МСК), но некоторые вещи, наверное, нужно будет ещё донастроить. При настройке учитывались пожелания участников конференции, коих набралось внушительное количество, и которые давали полезные советы по ходу процесса. Не могу не отметить то, что в самой конференции на тот момент было довольно интересно.
В процессе расследования выяснилось, что доступ к серверу у злоумышленников был давно, как минимум с августа (по датам создания ~/.ssh). Следов хакерской активности в других местах замечено не было, но это не значит, что её не было вообще. Логи ssh были в наличии только с ноября, так что изначальный источник атаки установить не удалось. Насколько действительно был заражён сервер, были ли там пропатченные бинарники и прочее - неизвестно, потому решение "переустановить всё с нуля" оказалось самым оптимальным.
Вот интересный кусок /var/log/secure, который относится к тому моменту (единственный успешный заход под postgres по ssh за день). Смена пароля, скорее всего, соответствует последним строкам из bash_history:
SystemV(*) (2013-12-17 00:46:22)
Отредактировано SystemV по причине "не указана"
Emacs-w3m/1.4.524 w3m/0.5.3
|
|
|
Скрыть
Re:О недавних событиях>То есть, база попала под раздачу на самом деле, и никто нам зла не собирался делать.
|
Скрыть
Re:О недавних событиях>>Я б на его месте скорее озаботился подтиранием bash_history, .ssh и прочего, чтобы меньше следов оставлять.
|
Скрыть
Re:О недавних событиях> Это, кстати, вообще неожиданно сложно решающаяся ситуация под никсами
|
Pshen(*)(2013-12-17 04:18:16)
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 |
Скрыть
Re:О недавних событиях> При настройке учитывались пожелания участников конференции, коих набралось внушительное количество
|
Скрыть
Re:О недавних событиях> Каким образом злоумышленники получили доступ к пользователю postgres тоже непонятно.
Ax-Xa-Xa(*)(2013-12-17 10:45:25)
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 |
Скрыть
Re:О недавних событиях>Пора настраивать аудит, чтобы не гадать потом, что и как
|
Скрыть
Re:О недавних событиях>А может это и был хитрый план по всеобщей деанонимизации?
|
Скрыть
Re:О недавних событиях>Да мне откуда ж знать (я обычный грузчик)
|
Скрыть
Re:О недавних событиях> Вот не надо тут сказки про грузчиков рассказывать.
Ax-Xa-Xa(*)(2013-12-17 17:17:31)
Отредактировано Ax-Xa-Xa по причине "не указана" Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 |
Скрыть
Re:О недавних событиях> Но никак не сисадмин, во всяком случае такого уровня, что бы тебе объяснить как наладить аудит.)))
|
Скрыть
Re:О недавних событияхА ты сомневаешься, что это случилось из-за тоталитарного режима единоличной власти бывшего сотрудника КГБ Вольдемара Вольдемаровича Шаломова (оперативный псевдоним "Моль")? Pshen(*)(2013-12-17 18:13:57)
Отредактировано Pshen по причине Хачи рулят и включают дворники Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36 |
Скрыть
ЖИДЫ СЮДАГраждане свободного рулинупса!
anonymous(*)(2014-06-19 23:50:46)
Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 |
Скрыть
Re:ЖИДЫ СЮДАЯ пару раз искал конфу на conference.jabber.ru, но что-то её не находил. Как она хоть называется? |
anonymous(*)(2014-06-20 00:47:34)
Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 |
Silvy(*)(2014-06-20 01:32:46)
Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:30.0) Gecko/20100101 Firefox/30.0 |
anonymous(*)(2014-06-20 02:48:04)
Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 |
Ax-Xa-Xa(*)(2014-06-20 09:45:36)
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.153 Safari/537.36 |
|
|
|
Этот тред читают 2 пользователя: |
Анонимных: 2 Зарегистрированных: 0 |
Re:О недавних событиях
То есть, база попала под раздачу на самом деле, и никто нам зла не собирался делать. Так, поставили ирк-прокси, пофлудили, потом ушли и за собой почистили.
Только вместе с мусором выплеснули и ребенка.