Биллинговая система Nodeny
23 Ноября 2024, 12:57:06 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1] 2
  Печать  
Автор Тема: DDoS или нет?  (Прочитано 9209 раз)
ale-x
NoDeny
Постоялец
*

Карма: 1
Offline Offline

Сообщений: 164


Просмотр профиля
« : 22 Декабря 2011, 12:14:09 »

Несколько дней наблюдаю картину - сервер для небольшой сети, все в одном, nas, биллинг, база, веб-сервер - проц загружен в потолок, естественно проблеммы с доступом в инет у клиентов.
Код:
[root@nas /home/***]# top -S
  PID USERNAME  THR PRI NICE   SIZE    RES STATE   C   TIME   WCPU COMMAND
75775 www         1 116    0  1532K   584K RUN     0   1:05 93.95% std

Код:
[root@nas /home/***]# ps ax | grep 75775
75775  ??  R      1:26.87 ./std 178.63.42.134 53

Че это такое? Запретил эту подсеть /16 файрволом - все ок. На следующий день уже другой IP - закрыл и для него.
Записан
goletsa
NoDeny
Спец
*

Карма: 21
Offline Offline

Сообщений: 973


Просмотр профиля
« Ответ #1 : 22 Декабря 2011, 14:29:55 »

А что за программа запущена?
Может вы и являетесь источником DDoS, ибо программа запущена от имени вебсервера, что подозрительною
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #2 : 22 Декабря 2011, 14:53:41 »

phpmyadmin стоит?

через них на перле постоянно заливают руткиты и серверы используют как зомбо-сеть

обычно в 100% уходит процессор, и трафика валит немеряно.
через strace я находил по пиду источники

проверь /tmp, обычно там складируется всё у них
Записан
ale-x
NoDeny
Постоялец
*

Карма: 1
Offline Offline

Сообщений: 164


Просмотр профиля
« Ответ #3 : 22 Декабря 2011, 15:49:41 »

точно.
Код:
[root@nas /tmp]# cd /tmp/kk/
[root@nas /tmp/kk]# ls
1               dir             j2              s               v
Vacutele.seen   f               mech.help       sl              v2
autorun         f4              mech.levels     start.sh        x
b               fwd             mech.pid        std
b2              httpd           mech.session    stream
bang.txt        httpd.core      mech.set        tty
cron            j               run             update
пхпмайадмин стоит. есть еще dle, но пользователь dle  имеет доступ только к базе dle.
как так получилось что залили в /tmp руткит?
Записан
goletsa
NoDeny
Спец
*

Карма: 21
Offline Offline

Сообщений: 973


Просмотр профиля
« Ответ #4 : 22 Декабря 2011, 17:36:53 »

Туда почти все могут писать.
Записан
VitalVas
NoDeny
Спец
*

Карма: 60
Offline Offline

Сообщений: 991



Просмотр профиля WWW
« Ответ #5 : 22 Декабря 2011, 18:12:58 »

примонтировать /tmp с опцией noexec
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #6 : 23 Декабря 2011, 07:59:46 »

я сделал mv perl perl2 Улыбающийся
на всякий случай от дырявостей скриптов на веб сервере, а в нужных скриптах просто поменял интерпретатор языка
Записан
VitalVas
NoDeny
Спец
*

Карма: 60
Offline Offline

Сообщений: 991



Просмотр профиля WWW
« Ответ #7 : 24 Декабря 2011, 03:40:47 »

а если зальют исполняемый файл?)
уже проходил такое
самая лучшая защита от такого - монтирования раздела с нужными параметрами
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #8 : 24 Декабря 2011, 12:38:13 »

а если зальют исполняемый файл?)
уже проходил такое
самая лучшая защита от такого - монтирования раздела с нужными параметрами

с веб серверами тут бабка надвое сказала, ведь бывает нужно ставить там аттрибут выполняемости
Записан
0xbad0c0d3
гуру nodeny )
NoDeny
Спец
*

Карма: 116
Offline Offline

Сообщений: 1059



Просмотр профиля
« Ответ #9 : 24 Декабря 2011, 16:07:36 »

Да и noexec - по сути костыль, в данной ситуации тоже. Лечить нужно не симптомы, а очаг. Нужно искать причину: откуда проникают. Чаще всего это:
1. SQL-Inj;
2. PHP-Inj (Уже встречается ооочень редко);
3. Простота паролей в CMS.
4. Бывает и такое, что юзают багу (обычно bufferoverflow) в каком-то сервисе (mysql,www,ftp,smb etc.)
Короч - искать нужно причину
Записан
Andrey Zentavr
NoDeny
Старожил
*

Карма: 29
Offline Offline

Сообщений: 301



Просмотр профиля
« Ответ #10 : 25 Декабря 2011, 13:32:45 »

P.S.: Ну хотя бы на корень пхпмайадмина поставить http-base авторизацию.
А вообще, я использую MySQL Workbench (соединяюсь через SSH-туннель к MySQL который слушает локалхост).

Не##й вообще поделки на биллинг ставить. Биллинг должен быть биллингом.
Записан
ale-x
NoDeny
Постоялец
*

Карма: 1
Offline Offline

Сообщений: 164


Просмотр профиля
« Ответ #11 : 26 Декабря 2011, 00:36:18 »

ну да, нас - насом, днс - днсом, БД - БД и т.д. итого около 10 машинок, хотя в данном конкретном случае достаточно одной.

а в .htaccess если для PMA прописать только доверенные ипы?
Записан
stix
NoDeny
Спец
*

Карма: 72
Offline Offline

Сообщений: 1872


Nodeny Support Team

205539
Просмотр профиля
« Ответ #12 : 26 Декабря 2011, 00:38:58 »

ну да, нас - насом, днс - днсом, БД - БД и т.д. итого около 10 машинок, хотя в данном конкретном случае достаточно одной.

а в .htaccess если для PMA прописать только доверенные ипы?
можно и order allow/deny политику
можно по паролю
а можно без Pma

ваще дырявый оч оч
Записан
Cell
NoDeny
Спец
*

Карма: 52
Offline Offline

Сообщений: 1407



Просмотр профиля
« Ответ #13 : 26 Декабря 2011, 17:46:50 »

а можно еще алиас для pma назвать не pma а чебурашка и усе.... )
Записан
ale-x
NoDeny
Постоялец
*

Карма: 1
Offline Offline

Сообщений: 164


Просмотр профиля
« Ответ #14 : 26 Декабря 2011, 17:55:57 »

 Смеющийся
плюсанул
Записан
Страниц: [1] 2
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!