DDoS или нет?

[ale-x]

Несколько дней наблюдаю картину - сервер для небольшой сети, все в одном, nas, биллинг, база, веб-сервер - проц загружен в потолок, естественно проблеммы с доступом в инет у клиентов.

Код:

[root@nas /home/***]# top -S
  PID USERNAME  THR PRI NICE   SIZE    RES STATE   C   TIME   WCPU COMMAND
75775 www         1 116    0  1532K   584K RUN     0   1:05 93.95% std

Код:

[root@nas /home/***]# ps ax | grep 75775
75775  ??  R      1:26.87 ./std 178.63.42.134 53

Че это такое? Запретил эту подсеть /16 файрволом - все ок. На следующий день уже другой IP - закрыл и для него.

[goletsa]

А что за программа запущена?
Может вы и являетесь источником DDoS, ибо программа запущена от имени вебсервера, что подозрительною

[stix]

phpmyadmin стоит?

через них на перле постоянно заливают руткиты и серверы используют как зомбо-сеть

обычно в 100% уходит процессор, и трафика валит немеряно.
через strace я находил по пиду источники

проверь /tmp, обычно там складируется всё у них

[ale-x]

точно.

Код:

[root@nas /tmp]# cd /tmp/kk/
[root@nas /tmp/kk]# ls
1               dir             j2              s               v
Vacutele.seen   f               mech.help       sl              v2
autorun         f4              mech.levels     start.sh        x
b               fwd             mech.pid        std
b2              httpd           mech.session    stream
bang.txt        httpd.core      mech.set        tty
cron            j               run             update

пхпмайадмин стоит. есть еще dle, но пользователь dle  имеет доступ только к базе dle.
как так получилось что залили в /tmp руткит?

[goletsa]

Туда почти все могут писать.

[VitalVas]

примонтировать /tmp с опцией noexec

[stix]

я сделал mv perl perl2
на всякий случай от дырявостей скриптов на веб сервере, а в нужных скриптах просто поменял интерпретатор языка

[VitalVas]

а если зальют исполняемый файл?)
уже проходил такое
самая лучшая защита от такого - монтирования раздела с нужными параметрами

[stix]

а если зальют исполняемый файл?)
уже проходил такое
самая лучшая защита от такого - монтирования раздела с нужными параметрами

с веб серверами тут бабка надвое сказала, ведь бывает нужно ставить там аттрибут выполняемости

[0xbad0c0d3]

Да и noexec - по сути костыль, в данной ситуации тоже. Лечить нужно не симптомы, а очаг. Нужно искать причину: откуда проникают. Чаще всего это:
1. SQL-Inj;
2. PHP-Inj (Уже встречается ооочень редко);
3. Простота паролей в CMS.
4. Бывает и такое, что юзают багу (обычно bufferoverflow) в каком-то сервисе (mysql,www,ftp,smb etc.)
Короч - искать нужно причину

[Andrey Zentavr]

P.S.: Ну хотя бы на корень пхпмайадмина поставить http-base авторизацию.
А вообще, я использую MySQL Workbench (соединяюсь через SSH-туннель к MySQL который слушает локалхост).

Не##й вообще поделки на биллинг ставить. Биллинг должен быть биллингом.

[ale-x]

ну да, нас - насом, днс - днсом, БД - БД и т.д. итого около 10 машинок, хотя в данном конкретном случае достаточно одной.

а в .htaccess если для PMA прописать только доверенные ипы?

[stix]

ну да, нас - насом, днс - днсом, БД - БД и т.д. итого около 10 машинок, хотя в данном конкретном случае достаточно одной.

а в .htaccess если для PMA прописать только доверенные ипы?

можно и order allow/deny политику
можно по паролю
а можно без Pma

ваще дырявый оч оч

[Cell]

а можно еще алиас для pma назвать не pma а чебурашка и усе.... )

[ale-x]

 
плюсанул