witam, od jakiegos czasu mam problem bo <ort>nie którzy</ort> gracze ddosują (tak mi się wydaje)
w folderze tam gdzie mam odpalony serwer pokazuje sie dump.core po ort! giga i serwer pada.
:Serwer pada oraz strona (utwarza się dump.core po ort! giga)
1.czy to jest wina silnika może jakiś błąd w nim jest?
2.czy to jest wina zabezpieczenia <ort>root'a</ort> lub xampa/phpmyadmin?
jak mogę zapobiec temu?
Serwer stoi na mintshost
nie da sie skutecznie bronic przed DDOS.
Jak chcesz odroznic czy ten kto Cie pinguje jest botem czy kims kto chce sie dostac na strone?
Mozesz sprawdzic czy z tego samego ip jest zablokowane by nie wysylal duzo zapytan
przed DDOS za duzo nie zrobisz jezeli nie masz duzo finansow do walki z tym ;)
fasadin napisał(a):
nie da sie skutecznie bronic przed DDOS.
Jak chcesz odroznic czy ten kto Cie pinguje jest botem czy kims kto chce sie dostac na strone?
Mozesz sprawdzic czy z tego samego ip jest zablokowane by nie wysylal duzo zapytan
przed DDOS za duzo nie zrobisz jezeli nie masz duzo finansow do walki z tym ;)
mam tej osoby ip ale zapewne to dużo nie da.
gdzie mogę to mniej wiecej sprawdzić?
no tak ale widziałem nie które serwery stoją i ich się nie da zdosować to jak to jest?
Zacznij od monitorowania ruchu sieciowego bo DDOS raczej sam z siebie nie powinien crashować serwera i generować core dumpa. To by jednak wskazywało na błąd w kodzie serwera.
Skoro Ci server pada, to być może ktoś jakimś exploitem w niego szczela. GDB odpal i sprawdź tego dumpa.
Skoro Apache to zakładam, że jest to gra typu "przeglądarkowa". Zastanowił bym się nad jakimś CDNem, który ograniczył by ruch (zwłaszcza dla plików statycznych).
winerfresh napisał(a):
Skoro Apache to zakładam, że jest to gra typu "przeglądarkowa". Zastanowił bym się nad jakimś CDNem, który ograniczył by ruch (zwłaszcza dla plików statycznych).
gra nie jest przegladarkowa, gadalem z tą osobą i pokazała ze inne serwery też potrafi wyłączyć i to widziałem jak wyłącza inne serwery więc raczej nic z tym nie zrobie?
Jeżeli jakiś użytkownik z konkretnego IP za bardzo szaleje (w sensie np. za dużo requestów w ciągu określonego czasu) to można by użyć antiflood, tylko nie wiem na ile z poziomu PHP jest to skuteczne, w sensie jeśli chodzi np. o ochronę przed botami a nie np. dzieciakami. W najprostszej postaci wystarczy wykorzystać cache i tam zapisywać zliczane requesty zwiększając o jeden.
Np. max. 60 żądań w ciągu minuty, najpierw jest sprawdzane to co jest w cache jeśli w ogóle coś zapisano, ile requestów jest zapisane, jeśli nie przekroczono max wartości to zwiększenie o jeden i zapis do cache, jeśli nastąpi przekroczenie to jakiś komunikat że serwis tymczasowo niedostępny, tutaj na czas ważności cache.
O tu jest najprostszy przykład dla Laravela:
https://github.com/ircop/antiflood
a tu nieco bardziej złożone tzn. z banem na jakiś czas :
https://github.com/damog/planetalinux/blob/master/www/principal/suscripcion/lib/antiflood.hack.php
Nie wiem na ile to ochroni przed botami, w każdym razie chodzi mi tu raczej nie o DDoS tylko przez DoS bo chyba jest różnica między atakiem z jednego komputera i konkretnego IP a zmasowanym atakiem z wielu komputerów i wielu IP przy użyciu użytkowników zombie.
jak mniej wiecej to mam zainstalować? po prostu wrzucić do /var/www
mało mam do czynienia z jsem i php
1: install via composer
composer require ircop/passworder
za bardzo tego to nie zrozumiałem ;]
To jest tylko moduł pod Laravela, podałem to tylko jako przykład, nie wiem w czym jest aplikacja. Ale nawet jeśli część po stronie serwera jest w PHP to właśnie w tym kodzie należy czegoś takiego użyć, czyli po prostu sprawdzanie cache i zapis requestów do cache i ich zwiększanie, sprawdzanie czy nie nastąpi przekroczenie. Ciężko jest tu powiedzieć coś bardziej szczegółowo. Nie mówię tu o instalacji tego konkretnie modułu,tylko można wykorzystać wbudowany mechanizm cache frameworka i do tego to się sprowadza.
w przypadku linuxa+apache ważne są dwie rzeczy:
to cię może ochronić od różnych niechcianych połączeń.
google: iptables stop ddos
iptables and ddos
Linuxem się fajnie administruje, ale trzeba znać te dwie rzeczy dobrze, to wtedy dużo problemów z bezpieczeństwem znika. Do w miarę wygodnych zmian chmod oraz chown polecam : mc
(uprawnienia niekonicznie związane są z DDoS, ale bardzo ważne dla apache)
drorat1 napisał(a):
To jest tylko moduł pod Laravela, podałem to tylko jako przykład, nie wiem w czym jest aplikacja. Ale nawet jeśli część po stronie serwera jest w PHP to właśnie w tym kodzie należy czegoś takiego użyć, czyli po prostu sprawdzanie cache i zapis requestów do cache i ich zwiększanie, sprawdzanie czy nie nastąpi przekroczenie. Ciężko jest tu powiedzieć coś bardziej szczegółowo. Nie mówię tu o instalacji tego konkretnie modułu,tylko można wykorzystać wbudowany mechanizm cache frameworka i do tego to się sprowadza.
ok dzięki coś spróbuje zrobić
NieGooglujMnie napisał(a):
w przypadku linuxa+apache ważne są dwie rzeczy:
- iptables:
http://serverfault.com/questions/410604/iptables-rules-to-counter-the-most-common-dos-attacks
http://rockdio.org/ayudatech/how-to-stop-small-ddos-attacks-some-basic-security-advice/
http://blog.stickpoll.me/stop-ddos-attack-with-iptables/
http://askubuntu.com/questions/437059/linux-command-to-prevent-dos-attack-by-using-netstat-and-iptablesto cię może ochronić od różnych niechcianych połączeń.
google: iptables stop ddos
iptables and ddos
- uprawnienia (chmod oraz chown)
Linuxem się fajnie administruje, ale trzeba znać te dwie rzeczy dobrze, to wtedy dużo problemów z bezpieczeństwem znika. Do w miarę wygodnych zmian chmod oraz chown polecam : mc
(uprawnienia niekonicznie związane są z DDoS, ale bardzo ważne dla apache)
- natomiast nie warto tego robić na poziomie języka serwerowego (PHP, czy tam inny) - jest to jakby "niepoprawna" droga rozwiązania tego problemu, bo to zadanie dla firewalla.
ok dzięki
Server jest napisany w c/c++
strona tylko działa np do
rankingu,sklepu czy utworzenia konta
gra sie przez klienta
a problemu gracze nie będą mieli z zalogowaniem sie do serwera?
jak dodam np
# Reject spoofed packets
iptables -A INPUT -s 10.0.0.0/8 -j DROP
iptables -A INPUT -s 169.254.0.0/16 -j DROP
iptables -A INPUT -s 172.16.0.0/12 -j DROP
iptables -A INPUT -s 127.0.0.0/8 -j DROP
iptables -A INPUT -s 224.0.0.0/4 -j DROP
iptables -A INPUT -d 224.0.0.0/4 -j DROP
iptables -A INPUT -s 240.0.0.0/5 -j DROP
iptables -A INPUT -d 240.0.0.0/5 -j DROP
iptables -A INPUT -s 0.0.0.0/8 -j DROP
iptables -A INPUT -d 0.0.0.0/8 -j DROP
iptables -A INPUT -d 239.255.255.0/24 -j DROP
iptables -A INPUT -d 255.255.255.255 -j DROP
# Stop smurf attacks
iptables -A INPUT -p icmp -m icmp --icmp-type address-mask-request -j DROP
iptables -A INPUT -p icmp -m icmp --icmp-type timestamp-request -j DROP
iptables -A INPUT -p icmp -m icmp -j DROP
# Drop all invalid packets
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
# Drop excessive RST packets to avoid smurf attacks
iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -m limit --limit 2/second --limit-burst 2 -j ACCEPT
# Attempt to block portscans
# Anyone who tried to portscan us is locked out for an entire day.
iptables -A INPUT -m recent --name portscan --rcheck --seconds 86400 -j DROP
iptables -A FORWARD -m recent --name portscan --rcheck --seconds 86400 -j DROP
# Once the day has passed, remove them from the portscan list
iptables -A INPUT -m recent --name portscan --remove
iptables -A FORWARD -m recent --name portscan --remove
# These rules add scanners to the portscan list, and log the attempt.
iptables -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "Portscan:"
iptables -A INPUT -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix "Portscan:"
iptables -A FORWARD -p tcp -m tcp --dport 139 -m recent --name portscan --set -j DROP
coś tego typu?
Server dziala na porcie 7171 oraz mysql 3306 oraz ssh/ftp 22
Jeszcze tu coś na stacku da się znaleźć:
http://stackoverflow.com/questions/14477942/how-to-enable-ddos-protection
http://stackoverflow.com/questions/12553606/anti-flood-ddos-in-php
http://stackoverflow.com/questions/25446328/how-to-protect-your-website-from-ddos-attack
Antiflood (z poziomu PHP) to raczej tylko częściowa ochrona.
dobra mam kolejny problem ktoś uzywaq aplikacji i ddosuje mi strone i nie działa
pisałem do supportu:
robiłem tak jak pan mówił ale niestety dalej jakaś osoba wyłącza strone, tak zwaną aplikacja attack serwer.
odpowiedz: to musi Pan odpowiednio skonfigurować firewalla, nie ma na to innego rozwiązania.
Z atakami DDOS możemy pomóc, z aplikacyjnymi niestety nie.
tzn jak mam ustawić tego firewalla mógłby ktoś troche odpisać lub jakiś poradnik dać?
To się nie trzyma kupy. Musisz miec błąd w aplikacji www. Wierząc adminowi hostingu, jezeli broni Cię przed atakami odmowy usługi, to jakim cudem strona się wywala?
Tak na moje oko jest to błąd aplikacji/konfiguracji serwera.
Jako mozesz podaj rodzaj blędu logi z tego co Ci wyrzuca, oraz wersje poszczególnych aplikacji z których korzystasz na hostingu.
To moze byc apache,php,baza,lub to co tam masz autorskie.
poza tym jezeli masz dostęp do shell'a serwisu, unieruchom wszystkie połączenia iptablesem, odczekaj chwilę i pokaz co masz pootwierane:
nmap -p- localhost
nmap -6 -p- ::1
mam taki ip tables ale jest problem taki ze innym strona nie dziala + nie dziala ani ssh nie mogę sie polaczyć ze swoim vpsem
#!/bin/bash
########################################
# Firewall #
########################################
# Variaveis
# Interface Externa (YOUR NETWORK INTERFACE)
if_ext=eth0
# Politica Default - DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# ------------------------------------------------
# Protection against TCP syncookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Ignore ICMP
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Allow access to localhost
iptables -I INPUT -p all -s 127.0.0.1 -j ACCEPT
# Allow connections from origin
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow external access to ports
iptables -I INPUT -i $if_ext -p tcp --dport 80 -j ACCEPT # HTTP
iptables -I INPUT -i $if_ext -p tcp --dport 7171 -j ACCEPT # TIBIA
iptables -I INPUT -i $if_ext -p tcp --dport 7172 -j ACCEPT # TIBIA GAME PORT
# Limit connections on Tibia Ports
iptables -A INPUT -p tcp -m recent --rcheck --seconds 60 -j REJECT
iptables -A INPUT -p tcp --dport 7171 -m connlimit --connlimit-above 10 -m recent --set -j REJECT
iptables -A INPUT -p tcp --dport 7172 -m connlimit --connlimit-above 10 -m recent --set -j REJECT
# Allow SSH (PUTTY)
iptables -I INPUT -i $if_ext -p tcp --dport 22 -j ACCEPT
# Limit connections
iptables -I INPUT -p tcp -m state --state NEW,ESTABLISHED -m recent --set -j ACCEPT
iptables -I INPUT -p tcp -m state --state NEW -m recent --update --seconds 3 --hitcount 20 -j DROP
# Block TCP-CONNECT scan attempts (SYN bit packets)
#iptables -A INPUT -p tcp --syn -j DROP
# Block TCP-SYN scan attempts (only SYN bit packets)
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP
# Block TCP-FIN scan attempts (only FIN bit packets)
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
# Block TCP-ACK scan attempts (only ACK bit packets)
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
# Block TCP-NULL scan attempts (packets without flag)
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,URG,PSH SYN,RST,ACK,FIN,URG,PSH -j DROP
#Block "Christmas Tree" TCP-XMAS scan attempts (packets with FIN, URG, PSH bits)
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
# Block DOS - Teardrop
iptables -A INPUT -p UDP -f -j DROP
# Block DDOS - Smurf
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP
iptables -A INPUT -p ICMP --icmp-type echo-request -m limit --limit 3/s -j ACCEPT
# Block DDOS - SYN-flood
iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 9 -j DROP
# Block DDOS - SMBnuke
iptables -A INPUT -p UDP --dport 135:139 -j DROP
iptables -A INPUT -p TCP --dport 135:139 -j DROP
# Block DDOS - Jolt
iptables -A INPUT -p ICMP -f -j DROP
# Block DDOS - Fraggle
iptables -A INPUT -p UDP -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p UDP -m limit --limit 3/s -j ACCEPT
# Creates logs of the rest of the connections
iptables -A INPUT -i $if_ext -p all -j LOG --log-prefix " - FIREWALL: droped -> "
Na dobrze przeprowadzony DDOS z botnetu na pojedynczy serwer nie ma absolutnie żadnej ochrony.
zaczyna to sensownie wyglądać .
Co do SSH to słuchaj, akurat przerabiam ten temat - jest pare trickow zabezpieczajacych:
Pozwalasz na port 22, ale tylko po adresie MAC. Wypisujesz adres MAC osob, ktore sie maja polaczyc, np. twojego laptopa
Generalnie wszyscy, ktorzy sa spoza danej puli MAC to beda odrzucani.
Dalej - wylaczamy logowanie po hasle, zeby nie bylo jakiegos brute force attacku.
Pozwalamy na logowanie tylko przez klucze:
http://askubuntu.com/questions/346857/how-do-i-force-ssh-to-only-allow-uses-with-a-key-to-log-in
te dwie metody (filtrowanie po MAC + tylko klucze) bardzo mocno zabezpieczaja SSH.
tu jest ciekawy przyklad - zablokuj wszystko z wyjatkiem SSH:
http://www.cyberciti.biz/tips/linux-iptables-4-block-all-incoming-traffic-but-allow-ssh.html
kolejna opcja - nie wolno dodawac nowych kluczy, tylko te ktore są.
tutaj przyklady z adresem MAC:
http://www.cyberciti.biz/tips/iptables-mac-address-filtering.html
np.
/sbin/iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
Rev napisał(a):
Na dobrze przeprowadzony DDOS z botnetu na pojedynczy serwer nie ma absolutnie żadnej ochrony.
jest glupia aplikacja robione "attack serwer " mogę nawet dać tutaj linka jeżeli ktoś troszkę pomoże
@NieGooglujMnie, jak chcesz filtrować ssh po adresie MAC w jakimś vpsie z dziesięcioma switchami po drodze to powodzenia :).
@NieGooglujMnie zrobiłem tak no ale niestety nie mogę sie teraz ani połączyć z maszyną ani przez ssh
Jaki linux?, jak debianopodobne to
cat /var/log/syslog
cat /var/log/auth.log
cat /var/log/debug
uname -r
who
apt-get install nmap
nmap -p- localhost
nmap -6 -p- ::1
apache2 -v
php -v
netstat -tulpn
service --status-all
ps -aux | grep root
jaka baza danych, co jest dodatkowo zainstalowane?
Mały Kogut napisał(a):
Jaki linux?, jak debianopodobne to
cat /var/log/syslog
cat /var/log/auth.log
cat /var/log/debug
uname -r
who
apt-get install nmap
nmap -p- localhost
nmap -6 -p- ::1
apache2 -v
php -v
netstat -tulpn
service --status-all
ps -aux | grep root
jaka baza danych, co jest dodatkowo zainstalowane?
2.6.32-042stab112.15
phpmyadmin
root pts/2 Mar 11 12:54 (aeol102.neoplus.adsl.tpnet.pl)
Starting Nmap 6.00 ( http://nmap.org ) at 2016-03-11 13:11 EST
route_dst_netlink: can't find interface "lo"
Server version: Apache/2.2.22 (Debian)
Server built: Aug 18 2015 10:17:37
PHP 5.4.45-0+deb7u2 (cli) (built: Oct 17 2015 09:01:48)
Copyright (c) 1997-2014 The PHP Group
Zend Engine v2.4.0, Copyright (c) 1998-2014 Zend Technologies
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 2392/smbd
tcp 0 0 0.0.0.0:7171 0.0.0.0:* LISTEN 3169/otserv
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 2263/mysqld
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 2392/smbd
tcp 0 0 127.0.0.1:587 0.0.0.0:* LISTEN 1736/sendmail: MTA:
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1521/rpcbind
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 7181/apache2
tcp 0 0 155.133.25.150:53 0.0.0.0:* LISTEN 1588/named
tcp 0 0 127.0.0.2:53 0.0.0.0:* LISTEN 1588/named
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1588/named
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1776/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1736/sendmail: MTA:
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 1588/named
tcp6 0 0 :::445 :::* LISTEN 2392/smbd
tcp6 0 0 :::139 :::* LISTEN 2392/smbd
tcp6 0 0 :::111 :::* LISTEN 1521/rpcbind
tcp6 0 0 :::53 :::* LISTEN 1588/named
tcp6 0 0 :::22 :::* LISTEN 1776/sshd
tcp6 0 0 ::1:953 :::* LISTEN 1588/named
udp 0 0 127.0.0.2:137 0.0.0.0:* 2387/nmbd
udp 0 0 127.0.0.2:137 0.0.0.0:* 2387/nmbd
udp 0 0 155.133.25.150:137 0.0.0.0:* 2387/nmbd
udp 0 0 155.133.25.150:137 0.0.0.0:* 2387/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 2387/nmbd
udp 0 0 127.0.0.2:138 0.0.0.0:* 2387/nmbd
udp 0 0 127.0.0.2:138 0.0.0.0:* 2387/nmbd
udp 0 0 155.133.25.150:138 0.0.0.0:* 2387/nmbd
udp 0 0 155.133.25.150:138 0.0.0.0:* 2387/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 2387/nmbd
udp 0 0 155.133.25.150:53 0.0.0.0:* 1588/named
udp 0 0 127.0.0.2:53 0.0.0.0:* 1588/named
udp 0 0 127.0.0.1:53 0.0.0.0:* 1588/named
udp 0 0 0.0.0.0:848 0.0.0.0:* 1521/rpcbind
udp 0 0 0.0.0.0:111 0.0.0.0:* 1521/rpcbind
udp6 0 0 :::53 :::* 1588/named
udp6 0 0 :::848 :::* 1521/rpcbind
udp6 0 0 :::111 :::* 1521/rpcbind
[ + ] apache2
[ + ] bind9
[ - ] bootlogs
[ ? ] bootmisc.sh
[ ? ] checkfs.sh
[ ? ] checkroot-bootclean.sh
[ - ] checkroot.sh
[ + ] cron
[ - ] fetchmail
[ - ] hostname.sh
[ ? ] hwclock.sh
[ - ] kbd
[ - ] keymap.sh
[ ? ] killprocs
[ ? ] kmod
[ ? ] modules_dep.sh
[ - ] motd
[ ? ] mountall-bootclean.sh
[ ? ] mountall.sh
[ ? ] mountdevsubfs.sh
[ ? ] mountkernfs.sh
[ ? ] mountnfs-bootclean.sh
[ ? ] mountnfs.sh
[ ? ] mtab.sh
[ ? ] mysql
[ ? ] networking
[ ? ] plymouth
[ ? ] plymouth-log
[ - ] procps
[ + ] quota
[ - ] quotarpc
[ ? ] rc.local
[ - ] rmnologin
[ + ] rpcbind
[ - ] rsync
[ + ] rsyslog
[ + ] samba
[ + ] saslauthd
[ ? ] screen-cleanup
[ + ] sendmail
[ ? ] sendsigs
[ + ] ssh
[ - ] sudo
[ - ] udev
[ ? ] udev-mtab
[ ? ] umountfs
[ ? ] umountnfs.sh
[ ? ] umountroot
[ - ] urandom
[ + ] vnstat
[ ? ] vzquota
[ ? ] vzreboot
[ - ] wide-dhcpv6-client
[ - ] x11-common
[ ? ] xinetd
warning: bad ps syntax, perhaps a bogus '-'?
See http://gitorious.org/procps/procps/blobs/master/Documentation/FAQ
root 1 0.0 0.0 3156 1764 ? Ss 12:38 0:00 init
root 2 0.0 0.0 0 0 ? S 12:38 0:00 [kthreadd/66020]
root 3 0.0 0.0 0 0 ? S 12:38 0:00 [khelper/66020]
root 94 0.0 0.0 2404 788 ? S 12:39 0:00 upstart-udev-bridge --daemon
root 105 0.0 0.0 2372 984 ? Ss 12:39 0:00 /sbin/udevd --daemon
root 152 0.0 0.0 2368 712 ? S 12:39 0:00 /sbin/udevd --daemon
root 153 0.0 0.0 2368 712 ? S 12:39 0:00 /sbin/udevd --daemon
root 252 0.0 0.0 2396 560 ? S 12:39 0:00 upstart-socket-bridge --daemon
root 1521 0.0 0.0 2260 700 ? Ss 12:39 0:00 /sbin/rpcbind -w
root 1624 0.0 0.0 33856 1476 ? Sl 12:39 0:00 /usr/sbin/rsyslogd -c5
root 1672 0.0 0.0 10052 840 ? Ss 12:39 0:00 /usr/sbin/saslauthd -a pam -c -m /var/run/saslauthd -n 2
root 1673 0.0 0.0 10052 472 ? S 12:39 0:00 /usr/sbin/saslauthd -a pam -c -m /var/run/saslauthd -n 2
root 1736 0.0 0.0 9952 2048 ? Ss 12:40 0:00 sendmail: MTA: accepting connections
root 1776 0.0 0.0 6360 1036 ? Ss 12:40 0:00 /usr/sbin/sshd
root 1886 0.0 0.0 2192 868 ? Ss 12:40 0:00 /usr/sbin/cron
root 1936 0.0 0.0 1816 532 ? S 12:40 0:00 /bin/sh /usr/bin/mysqld_safe
root 2264 0.0 0.0 1736 556 ? S 12:40 0:00 logger -t mysqld -p daemon.error
root 2276 0.0 0.0 2476 852 ? Ss 12:40 0:00 /usr/sbin/xinetd -pidfile /var/run/xinetd.pid -stayalive -inetd_compat -inetd_ipv6
root 2387 0.0 0.0 10088 1664 ? Ss 12:40 0:00 /usr/sbin/nmbd -D
root 2392 0.0 0.0 19684 3060 ? Ss 12:40 0:00 /usr/sbin/smbd -D
root 2404 0.0 0.0 20200 1156 ? S 12:40 0:00 /usr/sbin/smbd -D
root 2420 0.0 0.0 1932 572 ? Ss 12:40 0:00 /usr/sbin/vnstatd -d
root 2482 0.0 0.0 1984 736 tty1 Ss+ 12:40 0:00 /sbin/getty 38400 console
root 2484 0.0 0.0 1984 720 tty2 Ss+ 12:40 0:00 /sbin/getty 38400 tty2
root 2560 0.0 0.0 9300 3076 ? Ss 12:40 0:00 sshd: root@notty
root 2562 0.0 0.0 2000 840 ? Ss 12:40 0:00 /usr/lib/openssh/sftp-server
root 3166 0.0 0.0 2916 1232 ? Ss 12:52 0:00 SCREEN ./restart-ots
root 3167 0.0 0.0 2708 1164 pts/1 Ss+ 12:52 0:00 /bin/bash ./restart-ots
root 3169 2.3 9.1 613780 576316 pts/1 Sl+ 12:52 0:31 ./otserv
root 7131 0.0 0.0 9304 3076 ? Ss 13:12 0:00 sshd: root@pts/0
root 7133 0.0 0.0 3076 1704 pts/0 Ss 13:12 0:00 -bash
root 7233 0.0 0.0 6476 4928 ? S 13:14 0:00 /USR/SBIN/CRON
root 7274 0.0 0.1 42664 8208 ? Ss 13:14 0:00 /usr/sbin/apache2 -k start
root 7276 0.0 0.0 9472 2448 ? S 13:14 0:00 /usr/sbin/sendmail -i -FCronDaemon -oem root
root 7515 0.0 0.0 2700 964 pts/0 R+ 13:14 0:00 ps -aux
root 7516 0.0 0.0 1904 576 pts/0 S+ 13:14 0:00 grep root
Co to za program?
Troszkę stary system i paczki:
Jak masz wolną chwilę na serwerze to:
cat /etc/apt/sources.list
apt-get update
apt-get dist-upgrade
dodatkowo
ifconfig
nmap -p- 127.0.0.1
Mały Kogut napisał(a):
Co to za program?
Troszkę stary system i paczki:
Jak masz wolną chwilę na serwerze to:
cat /etc/apt/sources.list
apt-get update
apt-get dist-upgrade
dodatkowo
ifconfig
nmap -p- 127.0.0.1
wolałbym nie aktuwalizować do debian 8 z takich powodów że później będę miał problemy z odpaleniem serwera
ifconfig
ifconfig
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:1973 errors:0 dropped:0 overruns:0 frame:0
TX packets:1973 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:204865 (200.0 KiB) TX bytes:204865 (200.0 KiB)
venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.2 P-t-P:127.0.0.2 Bcast:0.0.0.0 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:41427 errors:0 dropped:0 overruns:0 frame:0
TX packets:30187 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:37996436 (36.2 MiB) TX bytes:8112881 (7.7 MiB)
venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:155.133.25.150 P-t-P:155.133.25.150 Bcast:155.133.25.150 Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
a przy tym drugim
Starting Nmap 6.00 ( http://nmap.org ) at 2016-03-11 13:30 EST
route_dst_netlink: can't find interface "lo"
apt-get install chkrootkit
apt-get install rkhunter
chkrootkit
rkhunter --update
rkhunter --check-all
Mały Kogut napisał(a):
apt-get install chkrootkit
apt-get install rkhunter
chkrootkit
rkhunter --update
rkhunter --check-all
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not found
Checking `grep'... not infected
Checking `hdparm'... not found
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not found
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not tested
Checking `tar'... not infected
Checking `tcpd'... not found
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for rootkit HiDrootkit's default files... nothing found
Searching for rootkit t0rn's default files... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for rootkit Lion's default files... nothing found
Searching for rootkit RSHA's default files... nothing found
Searching for rootkit RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... nothing found
Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for ENYELKM rootkit default files... nothing found
Searching for common ssh-scanners default files... nothing found
Searching for suspect PHP files... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
chkdirs: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... lo: not promisc and no packet sniffer sockets
venet0: not promisc and no packet sniffer sockets
venet0:0: not promisc and no packet sniffer sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'... The tty of the following user process(es) were not found
in /var/run/utmp !
! RUID PID TTY CMD
! root 3169 pts/1 ./otserv
! root 3167 pts/1 /bin/bash ./restart-serwer
chkutmp: nothing deleted
Checking `OSX_RSPLUG'... not infected
[ Rootkit Hunter version 1.4.0 ]
Checking system commands...
Performing 'strings' command checks
Checking 'strings' command [ OK ]
Performing 'shared libraries' checks
Checking for preloading variables [ None found ]
Checking for preloaded libraries [ None found ]
Checking LD_LIBRARY_PATH variable [ Not found ]
Performing file properties checks
Checking for prerequisites [ Warning ]
/usr/sbin/adduser [ OK ]
/usr/sbin/chroot [ OK ]
/usr/sbin/cron [ OK ]
/usr/sbin/groupadd [ OK ]
/usr/sbin/groupdel [ OK ]
/usr/sbin/groupmod [ OK ]
/usr/sbin/grpck [ OK ]
/usr/sbin/nologin [ OK ]
/usr/sbin/pwck [ OK ]
/usr/sbin/rsyslogd [ OK ]
/usr/sbin/useradd [ OK ]
/usr/sbin/userdel [ OK ]
/usr/sbin/usermod [ OK ]
/usr/sbin/vipw [ OK ]
/usr/sbin/xinetd [ OK ]
/usr/bin/awk [ OK ]
/usr/bin/basename [ OK ]
/usr/bin/cut [ OK ]
/usr/bin/diff [ OK ]
/usr/bin/dirname [ OK ]
/usr/bin/dpkg [ OK ]
/usr/bin/dpkg-query [ OK ]
/usr/bin/du [ OK ]
/usr/bin/env [ OK ]
/usr/bin/file [ OK ]
/usr/bin/find [ OK ]
/usr/bin/groups [ OK ]
/usr/bin/head [ OK ]
/usr/bin/id [ OK ]
/usr/bin/killall [ OK ]
/usr/bin/last [ OK ]
/usr/bin/lastlog [ OK ]
/usr/bin/ldd [ OK ]
/usr/bin/less [ OK ]
/usr/bin/locate [ OK ]
/usr/bin/logger [ OK ]
/usr/bin/lsof [ OK ]
/usr/bin/lynx [ OK ]
/usr/bin/mail [ OK ]
/usr/bin/md5sum [ OK ]
/usr/bin/mlocate [ OK ]
/usr/bin/newgrp [ OK ]
/usr/bin/passwd [ OK ]
/usr/bin/perl [ OK ]
/usr/bin/pgrep [ OK ]
/usr/bin/pkill [ OK ]
/usr/bin/pstree [ OK ]
/usr/bin/rkhunter [ OK ]
/usr/bin/runcon [ OK ]
/usr/bin/sha1sum [ OK ]
/usr/bin/sha224sum [ OK ]
/usr/bin/sha256sum [ OK ]
/usr/bin/sha384sum [ OK ]
/usr/bin/sha512sum [ OK ]
/usr/bin/size [ OK ]
/usr/bin/sort [ OK ]
/usr/bin/stat [ OK ]
/usr/bin/strings [ OK ]
/usr/bin/sudo [ OK ]
/usr/bin/tail [ OK ]
/usr/bin/test [ OK ]
/usr/bin/top [ OK ]
/usr/bin/touch [ OK ]
/usr/bin/tr [ OK ]
/usr/bin/uniq [ OK ]
/usr/bin/users [ OK ]
/usr/bin/vmstat [ OK ]
/usr/bin/w [ OK ]
/usr/bin/watch [ OK ]
/usr/bin/wc [ OK ]
/usr/bin/wget [ OK ]
/usr/bin/whatis [ OK ]
/usr/bin/whereis [ OK ]
/usr/bin/which [ OK ]
/usr/bin/who [ OK ]
/usr/bin/whoami [ OK ]
/usr/bin/unhide.rb [ Warning ]
/usr/bin/gawk [ OK ]
/usr/bin/bsd-mailx [ OK ]
/usr/bin/w.procps [ OK ]
/usr/bin/tcsh [ OK ]
/sbin/depmod [ OK ]
/sbin/fsck [ OK ]
/sbin/ifconfig [ OK ]
/sbin/ifdown [ OK ]
/sbin/ifup [ OK ]
/sbin/init [ OK ]
/sbin/insmod [ OK ]
/sbin/ip [ OK ]
/sbin/lsmod [ OK ]
/sbin/modinfo [ OK ]
/sbin/modprobe [ OK ]
/sbin/rmmod [ OK ]
/sbin/route [ OK ]
/sbin/runlevel [ OK ]
/sbin/sulogin [ OK ]
/sbin/sysctl [ OK ]
/bin/bash [ OK ]
/bin/cat [ OK ]
/bin/chmod [ OK ]
/bin/chown [ OK ]
/bin/cp [ OK ]
/bin/csh [ OK ]
/bin/date [ OK ]
/bin/df [ OK ]
/bin/dmesg [ OK ]
/bin/echo [ OK ]
/bin/ed [ OK ]
/bin/egrep [ OK ]
/bin/fgrep [ OK ]
/bin/fuser [ OK ]
/bin/grep [ OK ]
/bin/ip [ OK ]
/bin/kill [ OK ]
/bin/less [ OK ]
/bin/login [ OK ]
/bin/ls [ OK ]
/bin/lsmod [ OK ]
/bin/mktemp [ OK ]
/bin/more [ OK ]
/bin/mount [ OK ]
/bin/mv [ OK ]
/bin/netstat [ OK ]
/bin/ping [ OK ]
/bin/ps [ OK ]
/bin/pwd [ OK ]
/bin/readlink [ OK ]
/bin/sed [ OK ]
/bin/sh [ OK ]
/bin/su [ OK ]
/bin/touch [ OK ]
/bin/uname [ OK ]
/bin/which [ OK ]
/bin/kmod [ OK ]
/bin/tcsh [ OK ]
/bin/dash [ OK ]
[Press <ENTER> to continue]
Checking for rootkits...
Performing check of known rootkit files and directories
55808 Trojan - Variant A [ Not found ]
ADM Worm [ Not found ]
AjaKit Rootkit [ Not found ]
Adore Rootkit [ Not found ]
aPa Kit [ Not found ]
Apache Worm [ Not found ]
Ambient (ark) Rootkit [ Not found ]
Balaur Rootkit [ Not found ]
BeastKit Rootkit [ Not found ]
beX2 Rootkit [ Not found ]
BOBKit Rootkit [ Not found ]
cb Rootkit [ Not found ]
CiNIK Worm (Slapper.B variant) [ Not found ]
Danny-Boy's Abuse Kit [ Not found ]
Devil RootKit [ Not found ]
Dica-Kit Rootkit [ Not found ]
Dreams Rootkit [ Not found ]
Duarawkz Rootkit [ Not found ]
Enye LKM [ Not found ]
Flea Linux Rootkit [ Not found ]
Fu Rootkit [ Not found ]
Fuck`it Rootkit [ Not found ]
GasKit Rootkit [ Not found ]
Heroin LKM [ Not found ]
HjC Kit [ Not found ]
ignoKit Rootkit [ Not found ]
IntoXonia-NG Rootkit [ Not found ]
Irix Rootkit [ Not found ]
Jynx Rootkit [ Not found ]
KBeast Rootkit [ Not found ]
Kitko Rootkit [ Not found ]
Knark Rootkit [ Not found ]
ld-linuxv.so Rootkit [ Not found ]
Li0n Worm [ Not found ]
Lockit / LJK2 Rootkit [ Not found ]
Mood-NT Rootkit [ Not found ]
MRK Rootkit [ Not found ]
Ni0 Rootkit [ Not found ]
Ohhara Rootkit [ Not found ]
Optic Kit (Tux) Worm [ Not found ]
Oz Rootkit [ Not found ]
Phalanx Rootkit [ Not found ]
Phalanx2 Rootkit [ Not found ]
Phalanx2 Rootkit (extended tests) [ Not found ]
Portacelo Rootkit [ Not found ]
R3dstorm Toolkit [ Not found ]
RH-Sharpe's Rootkit [ Not found ]
RSHA's Rootkit [ Not found ]
Scalper Worm [ Not found ]
Sebek LKM [ Not found ]
Shutdown Rootkit [ Not found ]
SHV4 Rootkit [ Not found ]
SHV5 Rootkit [ Not found ]
Sin Rootkit [ Not found ]
Slapper Worm [ Not found ]
Sneakin Rootkit [ Not found ]
'Spanish' Rootkit [ Not found ]
Suckit Rootkit [ Not found ]
Superkit Rootkit [ Not found ]
TBD (Telnet BackDoor) [ Not found ]
TeLeKiT Rootkit [ Not found ]
T0rn Rootkit [ Not found ]
trNkit Rootkit [ Not found ]
Trojanit Kit [ Not found ]
Tuxtendo Rootkit [ Not found ]
URK Rootkit [ Not found ]
Vampire Rootkit [ Not found ]
VcKit Rootkit [ Not found ]
Volc Rootkit [ Not found ]
Xzibit Rootkit [ Not found ]
zaRwT.KiT Rootkit [ Not found ]
ZK Rootkit [ Not found ]
[Press <ENTER> to continue]
Performing additional rootkit checks
Suckit Rookit additional checks [ OK ]
Checking for possible rootkit files and directories [ None found ]
Checking for possible rootkit strings [ None found ]
Performing malware checks
Checking running processes for suspicious files [ None found ]
Checking for login backdoors [ None found ]
Checking for suspicious directories [ None found ]
Checking for sniffer log files [ None found ]
Performing trojan specific checks
Checking for enabled xinetd services [ None found ]
Checking for Apache backdoor [ Not found ]
Performing Linux specific checks
Checking loaded kernel modules [ Warning ]
Checking kernel module names [ OK ]
[Press <ENTER> to continue]
Checking the network...
Performing checks on the network ports
Checking for backdoor ports [ None found ]
Checking for hidden ports [ Skipped ]
Performing checks on the network interfaces
Checking for promiscuous interfaces [ None found ]
Checking the local host...
Performing system boot checks
Checking for local host name [ Found ]
Checking for system startup files [ Found ]
Checking system startup files for malware [ None found ]
Performing group and account checks
Checking for passwd file [ Found ]
Checking for root equivalent (UID 0) accounts [ None found ]
Checking for passwordless accounts [ None found ]
Checking for passwd file changes [ None found ]
Checking for group file changes [ None found ]
Checking root account shell history files [ OK ]
Performing system configuration file checks
Checking for SSH configuration file [ Found ]
Checking if SSH root access is allowed [ Warning ]
Checking if SSH protocol v1 is allowed [ Not allowed ]
Checking for running syslog daemon [ Found ]
Checking for syslog configuration file [ Found ]
Checking if syslog remote logging is allowed [ Not allowed ]
Performing filesystem checks
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
[Press <ENTER> to continue]
System checks summary
=====================
File properties checks...
Required commands check failed
Files checked: 136
Suspect files: 1
Rootkit checks...
Rootkits checked : 303
Possible rootkits: 0
Applications checks...
All checks skipped
The system checks took: 40 seconds
All results have been written to the log file (/var/log/rkhunter.log)
One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
Ewidentnie winą jest program odpowiedzialny za ots.
Iptables jest odpowiednio skonfigurowany.
Jezeli istnieje nowsza wersja serwera warto ją zastosować, naprawa serwera może być uciążliwa, najlepiej jakbyś stworzył sobie środowisko u siebie na komputerze i przeprowadził ten atak z włączonym tcpdumpem:
tcpdump -i <interface> -s 65535 -w atak_log.pcap
interface sprawdzasz ifconfigiem.
Jeżeli dojdziesz jaki pakiet wywala Ci serwer, będziesz miał więcej możliwosci, może to być blokowanie pakietów z pewną sygnaturą, lub poprawa na poziomie binarnym serwera.
A moze istnieją otwarte źródła do tego serwera?
Mały Kogut napisał(a):
Ewidentnie winą jest program odpowiedzialny za ots.
Iptables jest odpowiednio skonfigurowany.
Jezeli istnieje nowsza wersja serwera warto ją zastosować, naprawa serwera może być uciążliwa, najlepiej jakbyś stworzył sobie środowisko u siebie na komputerze i przeprowadził ten atak z włączonym tcpdumpem:
tcpdump -i <interface> -s 65535 -w atak_log.pcap
interface sprawdzasz ifconfigiem.
Jeżeli dojdziesz jaki pakiet wywala Ci serwer, będziesz miał więcej możliwosci, może to być blokowanie pakietów z pewną sygnaturą, lub poprawa na poziomie binarnym serwera.
A moze istnieją otwarte źródła do tego serwera?
no dobrze ale zapomniałem są 2 sposoby na pewno jedna osoba chwaliła się jak lepsze dedyki rozwala swoim programem teraz mnie zatakował bo go zbanowałem za szantażowanie i postanowił mnie ddosować nic kompletnie nie mogę zrobić. tak jakby maszyna była wyłączona