anonymous@RULINUX.NET~# Last login: 2024-11-22 02:58:58
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

О недавних событиях

В общем, в один прекрасный момент сайт стал сообщать, что не может соединиться с базой данных. Раньше такого не было, и я решил быстро зайти и посмотреть, что же там произошло. Зайдя внутрь, я решил перезапустить постгрес для надёжности, ну а постгрес же запускаться отказывался. После непродолжительного тыканья палочкой постгреса оказалось, что директория с данными /var/lib/pgsql пуста. После чего был созван консилиум в аварийно созданной джаббер-конференции [email protected]. Дальнейшее расследование выявило вот что.

Неизвестный хакер какое-то время назад зашел под постгресом по ssh, закинул свой сертификат в ~/.ssh (тут ~ - /var/lib/pgsql), поставил некий софт для irc (psybnc), и, через какое-то время, ликвидировал всё, сделав живительный rm -rf. От него остался .bash_history, кусок которого можно посмотреть тут.

В результате база сайта перестала существовать. Бэкапов на сервере тоже не оказалось (да и откуда), но у хостера остались снапшоты всей системы за последнюю пару дней. Поковыряв немного полумёртвый сервер, было решено восстановить свежий снапшот, взять оттуда ценные данные вроде базы, и переустановить всё заново, во избежание. Что и было произведено ночью (по МСК), но некоторые вещи, наверное, нужно будет ещё донастроить. При настройке учитывались пожелания участников конференции, коих набралось внушительное количество, и которые давали полезные советы по ходу процесса. Не могу не отметить то, что в самой конференции на тот момент было довольно интересно.

В процессе расследования выяснилось, что доступ к серверу у злоумышленников был давно, как минимум с августа (по датам создания ~/.ssh). Следов хакерской активности в других местах замечено не было, но это не значит, что её не было вообще. Логи ssh были в наличии только с ноября, так что изначальный источник атаки установить не удалось. Насколько действительно был заражён сервер, были ли там пропатченные бинарники и прочее - неизвестно, потому решение "переустановить всё с нуля" оказалось самым оптимальным.

Вот интересный кусок /var/log/secure, который относится к тому моменту (единственный успешный заход под postgres по ssh за день). Смена пароля, скорее всего, соответствует последним строкам из bash_history:

text
Dec 15 15:22:48 rulinux sshd[22899]: Address 82.137.11.57 maps to 82-137-11-57.rdsnet.ro, but this does no
t map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Dec 15 15:22:50 rulinux sshd[22899]: Accepted password for postgres from 82.137.11.57 port 2352 ssh2
Dec 15 15:22:50 rulinux sshd[22899]: pam_unix(sshd:session): session opened for user postgres by (uid=0)
Dec 15 15:23:49 rulinux passwd: pam_unix(passwd:chauthtok): password changed for postgres
 


Каким образом злоумышленники получили доступ к пользователю postgres тоже непонятно. По-идее, он создаётся при установке пакета, и не имеет пароля (но имеет shell). Возможно, изначально они проникли в систему другим способом.

Если у кого-нибудь есть что добавить - пишите.

SystemV(*) (2013-12-17 00:46:22)
Отредактировано SystemV по причине "не указана"
Emacs-w3m/1.4.524 w3m/0.5.3

[Ответить на это сообщение]
[#] [Добавить метку] [Редактировать] Ответ на: О недавних событиях от SystemV 2013-12-17 00:46:22
avatar
Скрыть

Re:О недавних событиях

То есть, база попала под раздачу на самом деле, и никто нам зла не собирался делать. Так, поставили ирк-прокси, пофлудили, потом ушли и за собой почистили.

Только вместе с мусором выплеснули и ребенка.

lockywolf(*)(2013-12-17 01:01:54)

[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от lockywolf 2013-12-17 01:01:54
avatar
Скрыть

Re:О недавних событиях

>То есть, база попала под раздачу на самом деле, и никто нам зла не собирался делать.
Ну, можно было бы и не стирать саму базу, стёр бы он свой бинарник, да и дело с концом. Я б на его месте скорее озаботился подтиранием bash_history, .ssh и прочего, чтобы меньше следов оставлять.

Хотя может он как раз и хотел, чтобы заметили и закрыли дырку (пусть даже и переустановкой), это даже благородный шаг получается.

SystemV(*)(2013-12-17 01:05:26)

Emacs-w3m/1.4.524 w3m/0.5.3
[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от SystemV 2013-12-17 01:05:26
avatar
Скрыть

Re:О недавних событиях

>>Я б на его месте скорее озаботился подтиранием bash_history, .ssh и прочего, чтобы меньше следов оставлять.
Думаю, тот робот был написан хакером не очень высокой квалификации, и:

а)Предполагал, что попадет в пустой каталог

б)Не знал, что rm -rf * не удаляет скрытые файлы. (Это, кстати, вообще неожиданно сложно решающаяся ситуация под никсами)

lockywolf(*)(2013-12-17 02:12:13)

[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от lockywolf 2013-12-17 02:12:13
avatar
Скрыть

Re:О недавних событиях

> Это, кстати, вообще неожиданно сложно решающаяся ситуация под никсами

bashrm -rf `pwd` # гулять так гулять

anonymous(*)(2013-12-17 02:25:25)

[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от anonymous 2013-12-17 02:25:25
avatar
Скрыть

Re:О недавних событиях

короче нас любят =))

отодрали так слегка =)))

vilfred(*)(2013-12-17 03:06:46)

[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от vilfred 2013-12-17 03:06:46
avatar
Скрыть

Re:О недавних событиях

Как-то они нас редко любят, заходили боунсер позапускать всего 9 раз

anonymous(*)(2013-12-17 03:19:41)

[#] [Добавить метку] [Редактировать] Ответ на: О недавних событиях от SystemV 2013-12-17 00:46:22
avatar
Скрыть

Re:О недавних событиях

Пора настраивать аудит, чтобы не гадать потом, что и как

Pshen(*)(2013-12-17 04:18:16)

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от Pshen 2013-12-17 04:18:16
avatar
Скрыть

Re:О недавних событиях

Да, займись этим.

anonymous(*)(2013-12-17 10:19:35)

[#] [Добавить метку] [Редактировать] Ответ на: О недавних событиях от SystemV 2013-12-17 00:46:22
avatar
Скрыть

Re:О недавних событиях

> При настройке учитывались пожелания участников конференции, коих набралось внушительное количество
А может это и был хитрый план по всеобщей деанонимизации?

anonymous(*)(2013-12-17 10:23:20)

[#] [Добавить метку] [Редактировать] Ответ на: О недавних событиях от SystemV 2013-12-17 00:46:22
avatar
Скрыть

Re:О недавних событиях

> Каким образом злоумышленники получили доступ к пользователю postgres тоже непонятно.
Очень жаль, собственно это единственное что бы хотелось знать во всей этой истории.

Ax-Xa-Xa(*)(2013-12-17 10:45:25)

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от Pshen 2013-12-17 04:18:16
avatar
Скрыть

Re:О недавних событиях

>Пора настраивать аудит, чтобы не гадать потом, что и как
Посоветуй, как его лучше всего настроить.

SystemV(*)(2013-12-17 12:48:44)

Emacs-w3m/1.4.524 w3m/0.5.3
[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от anonymous 2013-12-17 10:23:20
avatar
Скрыть

Re:О недавних событиях

>А может это и был хитрый план по всеобщей деанонимизации?
Да там по этим джабберам особо не деанонимизируешь никого.

SystemV(*)(2013-12-17 12:49:46)

Emacs-w3m/1.4.524 w3m/0.5.3
[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от SystemV 2013-12-17 12:48:44
avatar
Скрыть

Re:О недавних событиях

>Посоветуй, как его лучше всего настроить.
Да мне откуда ж знать (я обычный грузчик), просто не мог же я не отметиться в треде...

Pshen(*)(2013-12-17 16:43:18)

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от Pshen 2013-12-17 16:43:18
avatar
Скрыть

Re:О недавних событиях

>Да мне откуда ж знать (я обычный грузчик)
Вот не надо тут сказки про грузчиков рассказывать. Пиши лучше про аудит.

SystemV(*)(2013-12-17 17:05:47)

Emacs-w3m/1.4.524 w3m/0.5.3
[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от SystemV 2013-12-17 17:05:47
avatar
Скрыть

Re:О недавних событиях

> Пиши лучше про злодеяния кровавого Путина.

Fix..

anonymous(*)(2013-12-17 17:11:43)

[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от SystemV 2013-12-17 17:05:47
avatar
Скрыть

Re:О недавних событиях

> Вот не надо тут сказки про грузчиков рассказывать.
Систем, ты шо? Этаж уже обсасывалась стописят везде где пациент засвечивался. Я например вполне могу предположить, что он не грузчик в ДЦ, а топманагер или того круче - хозяин. Но никак не сисадмин, во всяком случае такого уровня, что бы тебе объяснить как наладить аудит.)))

Ax-Xa-Xa(*)(2013-12-17 17:17:31)
Отредактировано Ax-Xa-Xa по причине "не указана"
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от Ax-Xa-Xa 2013-12-17 17:17:31
avatar
Скрыть

Re:О недавних событиях

> Но никак не сисадмин, во всяком случае такого уровня, что бы тебе объяснить как наладить аудит.)))
Ну так пусть своих сисаднинов напряжёт.

anonymous(*)(2013-12-17 17:25:32)

[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от anonymous 2013-12-17 17:11:43Фильтры
avatar
  • нацпол
Скрыть

Re:О недавних событиях

А ты сомневаешься, что это случилось из-за тоталитарного режима единоличной власти бывшего сотрудника КГБ Вольдемара Вольдемаровича Шаломова (оперативный псевдоним "Моль")?

Сомнения - это то, на чём держится их власть.

Сомнения в том, что auditd/rsyslog/aide могут помочь в разоблачении деяний кровавой гэбни - это основа российского тоталитаризма. Если бы каждый вместо того, чтобы выключать selinux сел бы, и настроил сервер как полагается, давно бы уже вокруг нас была свобода и демократия, а не хачи на золотых мазератти.

Pshen(*)(2013-12-17 18:13:57)
Отредактировано Pshen по причине Хачи рулят и включают дворники
Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Re:О недавних событиях от Pshen 2013-12-17 18:13:57
avatar
Скрыть

ЖИДЫ СЮДА

Граждане свободного рулинупса!
В связи с участившимися событиями предлагаю всем обменяться JID-ами или ещё лучше подключиться к conference.jabber.ru чтобы каждый раз не вспоминать мучительно куда пойти пока Систем Вэ восстанавливает сервак :)

Мой: [email protected]

anonymous(*)(2014-06-19 23:50:46)

Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0
[#] [Добавить метку] [Редактировать] Ответ на: ЖИДЫ СЮДА от anonymous 2014-06-19 23:50:46
avatar
Скрыть

Re:ЖИДЫ СЮДА

Я пару раз искал конфу на conference.jabber.ru, но что-то её не находил. Как она хоть называется?

anonymous(*)(2014-06-20 00:14:56)

[#] [Добавить метку] [Редактировать] Ответ на: Re:ЖИДЫ СЮДА от anonymous 2014-06-20 00:14:56
avatar
Скрыть

Re:ЖИДЫ СЮДА

Это прозвучит странно, но конфа называется "rulinux"

Dr.uid(*)(2014-06-20 00:20:36)

Mozilla/5.0 (X11; Linux x86_64; rv:30.0) Gecko/20100101 Firefox/30.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:ЖИДЫ СЮДА от Dr.uid 2014-06-20 00:20:36
avatar
Скрыть

Re:ЖИДЫ СЮДА

Не было такой! Хотя сегодня я не смотрел.

anonymous(*)(2014-06-20 00:29:04)

[#] [Добавить метку] [Редактировать] Ответ на: Re:ЖИДЫ СЮДА от anonymous 2014-06-20 00:29:04
avatar
Скрыть

Re:ЖИДЫ СЮДА

Сейчас она есть.

anonymous(*)(2014-06-20 00:47:34)

Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:ЖИДЫ СЮДА от anonymous 2014-06-20 00:47:34Фильтры
avatar
  • матерные выражения
Скрыть

Re:ЖИДЫ СЮДА

Тебе хуем по губам поводить, негодник этакий?

Silvy(*)(2014-06-20 01:32:46)

Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:30.0) Gecko/20100101 Firefox/30.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:ЖИДЫ СЮДА от Silvy 2014-06-20 01:32:46Фильтры
avatar
  • матерные выражения
Скрыть

Re:ЖИДЫ СЮДА

Разжилась хуем и не знаешь чо с ним делать, проказница?

anonymous(*)(2014-06-20 02:48:04)

Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0
[#] [Добавить метку] [Редактировать] Ответ на: Re:ЖИДЫ СЮДА от anonymous 2014-06-20 00:47:34
avatar
Скрыть

Re:ЖИДЫ СЮДА

> Сейчас она есть.
А сейчас?

anonymous(*)(2014-06-20 09:44:49)

[#] [Добавить метку] [Редактировать] Ответ на: ЖИДЫ СЮДА от anonymous 2014-06-19 23:50:46
avatar
Скрыть

Re:ЖИДЫ СЮДА

> Систем Вэ восстанавливает сервак :)
Систем Вэ разве не уволился уже давно?)))

Ax-Xa-Xa(*)(2014-06-20 09:45:36)

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.153 Safari/537.36
[#] [Добавить метку] [Редактировать] Ответ на: Re:ЖИДЫ СЮДА от Ax-Xa-Xa 2014-06-20 09:45:36
avatar
Скрыть

Re:ЖИДЫ СЮДА

А кто же тогда сайт восстанавливал?

anonymous(*)(2014-06-20 09:55:31)

[#] [Добавить метку] [Редактировать] Ответ на: Re:ЖИДЫ СЮДА от Ax-Xa-Xa 2014-06-20 09:45:36
avatar
Скрыть

Re:ЖИДЫ СЮДА

> Систем Вэ разве не уволился уже давно?)))

Ты с Тюксоидом перепутал - вот он уже давно нихуя не делает ))

anonymous(*)(2014-06-20 11:03:41)

Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0
Этот тред читают 1 пользователь:
Анонимных: 1
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!