[Question] Hacked VPS !!! |
28/11/2007 01:06:42 (+0700) | #1 | 100588 |
|
rickb
Reseacher
|
Joined: 27/01/2007 17:47:27
Messages: 200
Offline
|
|
Khác hàng mình sử dụng 1 VPS thuê từ Hosting Provider của cty mình, mới sáng nay khách hàng contact mình và thông báo rằng server ko còn access được nữa, mình thử ssh vào VPS thì đúng là ko được, thế là mình ssh vào Hardware Node (Physical Server) và access vào VPS, sau khi check sơ bộ thì mình phát hiện vps khách hàng mình đã bị hack & cài rootkit :
[root@node-01]# ls -al /vz/private/xxxx/bin | grep Nov
drwxr-xr-x 2 root root 4096 Nov 23 03:15 .
drwxr-xr-x 23 root root 4096 Nov 27 10:25 ..
-rwxr-xr-x 1 root root 6908 Nov 27 10:49 arch
-rwxr-xr-x 1 root root 17164 Nov 27 10:49 basename
-rwxr-xr-x 1 root root 614584 Nov 27 10:25 bash
-rwxr-xr-x 1 root root 20856 Nov 27 10:49 cat
-rwxr-xr-x 1 root root 36604 Nov 27 10:49 chgrp
-rwxr-xr-x 1 root root 36196 Nov 27 10:49 chmod
-rwxr-xr-x 1 root root 43164 Nov 27 10:49 chown
-rwxr-xr-x 1 root root 60016 Nov 27 10:49 cp
-rwxr-xr-x 1 root root 55852 Nov 27 10:49 cpio
-rwxr-xr-x 1 root root 31024 Nov 27 10:48 cut
-rwxr-xr-x 1 root root 49024 Nov 27 10:49 date
-rwxr-xr-x 1 root root 33168 Nov 27 10:49 dd
-rwxr-xr-x 1 root root 47752 Nov 27 10:49 ed
-rwxr-xr-x 1 root root 250744 Nov 27 10:49 gawk
-rwxr-xr-x 1 root root 76104 Nov 27 10:49 grep
-rwxr-xr-x 1 root root 159620 Nov 27 10:49 tar
-rwxr-xr-x 1 root root 310016 Nov 27 10:49 tcsh
-rwxr-xr-x 1 root root 472992 Nov 27 10:49 vi
xxxx là thư mục của vps (mình đã edit) bị hack
Theo output trên thì hệ thống đã bị cài rootkit vào ngay hôm nay (27/11), mình đã down chkrootkit và rkhunter về check thì chính xác là đã bị cài rootkit
Như vậy, ngaòi việc backup data & cài lại OS mới (VPS mới) thì còn giải pháp nào không nhỉ ? Ai cho mình 1 lời khuyên với
Cám ơn
Thân |
|
|
|
|
[Question] Hacked VPS !!! |
28/11/2007 01:11:09 (+0700) | #2 | 100589 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
rickb wrote:
Khác hàng mình sử dụng 1 VPS thuê từ Hosting Provider của cty mình, mới sáng nay khách hàng contact mình và thông báo rằng server ko còn access được nữa, mình thử ssh vào VPS thì đúng là ko được, thế là mình ssh vào Hardware Node (Physical Server) và access vào VPS, sau khi check sơ bộ thì mình phát hiện vps khách hàng mình đã bị hack & cài rootkit :
[root@node-01]# ls -al /vz/private/7075/bin | grep Nov
drwxr-xr-x 2 root root 4096 Nov 23 03:15 .
drwxr-xr-x 23 root root 4096 Nov 27 10:25 ..
-rwxr-xr-x 1 root root 6908 Nov 27 10:49 arch
-rwxr-xr-x 1 root root 17164 Nov 27 10:49 basename
-rwxr-xr-x 1 root root 614584 Nov 27 10:25 bash
-rwxr-xr-x 1 root root 20856 Nov 27 10:49 cat
-rwxr-xr-x 1 root root 36604 Nov 27 10:49 chgrp
-rwxr-xr-x 1 root root 36196 Nov 27 10:49 chmod
-rwxr-xr-x 1 root root 43164 Nov 27 10:49 chown
-rwxr-xr-x 1 root root 60016 Nov 27 10:49 cp
-rwxr-xr-x 1 root root 55852 Nov 27 10:49 cpio
-rwxr-xr-x 1 root root 31024 Nov 27 10:48 cut
-rwxr-xr-x 1 root root 49024 Nov 27 10:49 date
-rwxr-xr-x 1 root root 33168 Nov 27 10:49 dd
-rwxr-xr-x 1 root root 47752 Nov 27 10:49 ed
-rwxr-xr-x 1 root root 250744 Nov 27 10:49 gawk
-rwxr-xr-x 1 root root 76104 Nov 27 10:49 grep
-rwxr-xr-x 1 root root 159620 Nov 27 10:49 tar
-rwxr-xr-x 1 root root 310016 Nov 27 10:49 tcsh
-rwxr-xr-x 1 root root 472992 Nov 27 10:49 vi
Theo output trên thì hệ thống đã bị cài rootkit vào ngay hôm nay (27/11), mình đã down chkrootkit và rkhunter về check thì chính xác là đã bị cài rootkit
Như vậy, ngaòi việc backup data & cài lại OS mới (VPS mới) thì còn giải pháp nào không nhỉ ? Ai cho mình 1 lời khuyên với
Cám ơn
Thân
Việc cài lại OS và phục hồi lại data là việc hoàn toàn cần thiết sau khi bị rootkit (bởi vì để phân tích và diệt tận gốc rootkit là điều không bảo đảm và phí thời gian).
Quan trọng hơn nữa là cần tìm ra nguồn gốc và lý do tại sao bị rootkit để ngăn ngừa tình trạng cũ lại xảy ra. Nếu không, cài OS và phục hồi data là chuyện sẽ xảy ra dài dài. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Hacked VPS !!! |
28/11/2007 01:22:43 (+0700) | #3 | 100594 |
|
rickb
Reseacher
|
Joined: 27/01/2007 17:47:27
Messages: 200
Offline
|
|
conmale wrote:
Việc cài lại OS và phục hồi lại data là việc hoàn toàn cần thiết sau khi bị rootkit (bởi vì để phân tích và diệt tận gốc rootkit là điều không bảo đảm và phí thời gian).
Quan trọng hơn nữa là cần tìm ra nguồn gốc và lý do tại sao bị rootkit để ngăn ngừa tình trạng cũ lại xảy ra. Nếu không, cài OS và phục hồi data là chuyện sẽ xảy ra dài dài.
Hiện tại em đã cô lập VPS (ko thể access từ NET được nữa). Cả Hardware và VPS đều sử dụng CentOS, riêng Hardware node sử dụng OpenVZ cho giải pháp Vitualization. Nhưng em nghĩ vấn đển chỉ nằm ở VPS mà ko nằm ở Hardware node, vì chỉ có VPS là bị hack, còn Hardware Node và tất cả VPS khác ko bị gì hết. Vậy theo anh bây giờ em nên làm những gì để có thể xác định được nguồn gốc và lý do tại sao bị cài rootkit ? Do em thường xuyên ssh vào server vào các thởi điểm ko cố định và em cũng ko sử dụng IP tĩnh (ADSL) vì thế thông tin từ lệnh last gần như ko có ích. Mong anh cho em 1 số hướng để giải quyết vấn để
Thanx |
|
|
|
|
[Question] Hacked VPS !!! |
28/11/2007 01:25:34 (+0700) | #4 | 100596 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
rickb wrote:
conmale wrote:
Việc cài lại OS và phục hồi lại data là việc hoàn toàn cần thiết sau khi bị rootkit (bởi vì để phân tích và diệt tận gốc rootkit là điều không bảo đảm và phí thời gian).
Quan trọng hơn nữa là cần tìm ra nguồn gốc và lý do tại sao bị rootkit để ngăn ngừa tình trạng cũ lại xảy ra. Nếu không, cài OS và phục hồi data là chuyện sẽ xảy ra dài dài.
Hiện tại em đã cô lập VPS (ko thể access từ NET được nữa). Cả Hardware và VPS đều sử dụng CentOS, riêng Hardware node sử dụng OpenVZ cho giải pháp Vitualization. Nhưng em nghĩ vấn đển chỉ nằm ở VPS mà ko nằm ở Hardware node, vì chỉ có VPS là bị hack, còn Hardware Node và tất cả VPS khác ko bị gì hết. Vậy theo anh bây giờ em nên làm những gì để có thể xác định được nguồn gốc và lý do tại sao bị cài rootkit ? Do em thường xuyên ssh vào server vào các thởi điểm ko cố định và em cũng ko sử dụng IP tĩnh (ADSL) vì thế thông tin từ lệnh last gần như ko có ích. Mong anh cho em 1 số hướng để giải quyết vấn để
Thanx
Khoan hẵng đụng chạm gì đến cái VPS đã, nếu không, không thể điều tra được.
Đầu tiên nên xét xem có bao nhiêu dịch vụ đang chạy trên VPS đó và chúng là gì? có phiên bản bao nhiêu.
Post các thông tin ấy lên đây. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Hacked VPS !!! |
28/11/2007 01:25:39 (+0700) | #5 | 100597 |
|
lion_king_lovely_1985
Member
|
0 |
|
|
Joined: 05/09/2006 20:13:20
Messages: 156
Location: HTTP://HTVSITE.COM
Offline
|
|
conmale wrote:
[root@node-01]# ls -al /vz/private/xxxx/bin | grep Nov
Chỗ này chắc chẳng mấy ai để ý
Vậy mà sao pác conmale nhà ta lại xài mây con số đó cho folder xxxx của rickb thế nhỉ???
================ 7075 ==============
rickb wrote:
[root@node-01]# ls -al /vz/private/7075/bin | grep Nov
|
|
HỌC THIẾT KẾ WEBSITE | HỌC LẬP TRÌNH WEBSITE | HỌC QUẢN TRỊ WEBSITE | HỌC LẬP TRÌNH PHP & MySQL
HTTP://HTVSITE.COM |
|
|
|
[Question] Re: Hacked VPS !!! |
28/11/2007 01:43:30 (+0700) | #6 | 100602 |
dammeit
Member
|
0 |
|
|
Joined: 06/10/2007 20:52:06
Messages: 86
Offline
|
|
lion_king_lovely_1985 wrote:
conmale wrote:
[root@node-01]# ls -al /vz/private/xxxx/bin | grep Nov
Chỗ này chắc chẳng mấy ai để ý
Vậy mà sao pác conmale nhà ta lại xài mây con số đó cho folder xxxx của rickb thế nhỉ???
================ 7075 ==============
rickb wrote:
[root@node-01]# ls -al /vz/private/7075/bin | grep Nov
Đọc kỉ bài của richb
rickb wrote:
xxxx là thư mục của vps (mình đã edit) bị hack
và tên cái thư mục này ko có gì quan trọng trong vấn đề này cả |
|
|
|
|
[Question] Re: Hacked VPS !!! |
28/11/2007 02:03:38 (+0700) | #7 | 100609 |
|
rickb
Reseacher
|
Joined: 27/01/2007 17:47:27
Messages: 200
Offline
|
|
@dammeit : nó ko quá quan trọng nhưng tôi luôn cố gắng giữ thông tin của khách hàng tối đa
@conmale : đây là thông tin hiện tại của vps khách hàng của em :
-bash-3.00# netstat -natp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN 23851/snmpd
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 24326/mysqld
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 23929/exim
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 24204/vm-pop3d
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 23888/xinetd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 24102/httpd
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 26587/named
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 24161/proftpd: (acc
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN 23888/xinetd
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 26587/named
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 23929/exim
tcp 0 0 0.0.0.0:11643 0.0.0.0:* LISTEN 26430/httpd -DSSL
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 24102/httpd
-bash-3.00#
-bash-3.00#
-bash-3.00#
-bash-3.00# ps axf
Unknown HZ value! (186) Assume 100.
PID TTY STAT TIME COMMAND
1 ? S 0:00 init [3]
22315 ? S 0:00 minilogd
23820 ? S 0:00 /etc/rc3.d/S12syslog start
23821 ? S 0:00 \_ /bin/sh
23851 ? S 0:00 /usr/sbin/snmpd -Lsd -Lf /dev/null -p /var/run/snmpd -a
23865 ? S 0:00 /usr/sbin/sshd
23888 ? S 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
23902 ? S 0:00 /usr/local/directadmin/da-popb4smtp
23929 ? S 0:00 /usr/sbin/exim -bd -q15m -oP /var/run/exim.pid
23941 ? S 0:00 /etc/rc3.d/S84syslog start
23942 ? S 0:00 \_ /bin/sh
24102 ? S 0:00 /usr/sbin/httpd -k start -DSSL
24187 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24189 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24191 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24192 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24193 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24194 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24161 ? S 0:00 proftpd: (accepting connections)
24204 ? S 0:00 vm-pop3d -d 10 -t 600
24205 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24206 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24207 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24212 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24213 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24214 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24215 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24216 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24217 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24218 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24245 ? S 0:00 crond
24267 ? S 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/server.website.com.pid
24326 ? S 0:00 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/server.website.com.pid --skip-ex
26024 ? S 0:00 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/server.website.com.pid --ski
26025 ? S 0:00 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/server.website.com.pid -
26430 ? S 0:00 /usr/local/apache/bin/httpd -DSSL
26587 ? S 0:00 named -u named
29813 ? R 0:00 vzctl: pts/0
29814 pts/0 S 0:00 \_ -bash
30050 pts/0 R 0:00 \_ ps axf
-bash-3.00#
note : trong phần output của lệnh ps axf, em đã thay domain thật sự của khách àhng thành website.com
Anh cần thêm thông tin gì thì cú request, em sẽ đưa lên. Cám ơn anh đã quan tâm giúp đỡ
Thân |
|
|
|
|
[Question] Re: Hacked VPS !!! |
28/11/2007 03:56:20 (+0700) | #8 | 100638 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Xem ra có proftpd và vm-pop3d là đáng ngờ. Chạy snmpd và mysqld mở ra như thế là cực nguy.
snmpd không dùng để tấn công trực tiếp nhưng có thể dùng nó để gặt hái thông tin nhạy cảm.
mysqld không thể trực tiếp tấn công và thiết lập rootkit được nhưng nó có thể bị brute force và mất quyền quản lý sql. Thậm chí nếu config không kỹ nó có thể bị leo thang chủ quyền.
Bồ thảy lên các log của:
- proftpd trước và sau khi phát hiện bị rootkit.
- vm-pop3d trước và sau khi phát hiện bị rootkit.
- /var/log/secure + /var/log/messages trước và sau khi phát hiện bị rootkit.
- last trước và sau khi phát hiện bị rootkit.
- .history của root (có thể không còn gì lý thú như ít ra có thể phân tích được vài điều).
- .history của account nào làm chủ VPS instance đó (có thể không còn gì lý thú như ít ra có thể phân tích được vài điều).
to lion_king_lovely_1985: những ai làm "trong ngành" thì ít nhất bị dính rootkit 1 lần trong đời. Đây là chuyện bình thường. Nếu chưa bị dính bao giờ thì tự nhủ rằng mình may mắn hoặc chưa "ra đời" lâu đủ . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Hacked VPS !!! |
28/11/2007 05:57:59 (+0700) | #9 | 100668 |
|
rickb
Reseacher
|
Joined: 27/01/2007 17:47:27
Messages: 200
Offline
|
|
conmale wrote:
Xem ra có proftpd và vm-pop3d là đáng ngờ. Chạy snmpd và mysqld mở ra như thế là cực nguy.
snmpd không dùng để tấn công trực tiếp nhưng có thể dùng nó để gặt hái thông tin nhạy cảm.
mysqld không thể trực tiếp tấn công và thiết lập rootkit được nhưng nó có thể bị brute force và mất quyền quản lý sql. Thậm chí nếu config không kỹ nó có thể bị leo thang chủ quyền.
Bồ thảy lên các log của:
- proftpd trước và sau khi phát hiện bị rootkit.
- vm-pop3d trước và sau khi phát hiện bị rootkit.
- /var/log/secure + /var/log/messages trước và sau khi phát hiện bị rootkit.
- last trước và sau khi phát hiện bị rootkit.
- .history của root (có thể không còn gì lý thú như ít ra có thể phân tích được vài điều).
- .history của account nào làm chủ VPS instance đó (có thể không còn gì lý thú như ít ra có thể phân tích được vài điều).
to lion_king_lovely_1985: những ai làm "trong ngành" thì ít nhất bị dính rootkit 1 lần trong đời. Đây là chuyện bình thường. Nếu chưa bị dính bao giờ thì tự nhủ rằng mình may mắn hoặc chưa "ra đời" lâu đủ .
Hi anh conmale,
Hiện tại em chỉ biết được ngày bị cài rootkit là 27/11 qua lệnh ls -al /vz/private/xxxx/bin/ trên chứ em vẫn chưa biết thời điểm cụ thể chính xác bị attack nên em ko thể phân log ra như anh reqeust (trước và sau khi bị cài rootkit), đây là output của tail phần log proftpd (vì nó quá dài nên em chỉ tail) của server bị attack :
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 06. Foo Fighters - Stranger Things Have Happened.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 05. Foo Fighters - Come Alive.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 04. Foo Fighters - Long Road To Ruin.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 03. Foo Fighters - Erase,Replace.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 02. Foo Fighters - Let It Die.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 01. Foo Fighters - The Pretender.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 00. Foo Fighters - Echoes, Silence, Patience & Grace.sfv" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 00. Foo Fighters - Echoes, Silence, Patience & Grace.nfo" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 00. Foo Fighters - Echoes, Silence, Patience & Grace.m3u" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "RMD Foo Fighters - Echoes, Silence, Patience & Grace [V0]" 550 -
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:17:34 +0000] "STOR untitled.JPG" 226 10406
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:36 +0000] "RNFR untitled.JPG" 350 0
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:36 +0000] "RNTO kei.jpg" 250 0
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:42 +0000] "RNFR kei.jpg" 350 0
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:42 +0000] "RNTO 141.jpg" 250 0
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:10 +0000] "DELE 09. Foo Fighters - Ballad Of The Beaconsfield Miners.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:16 +0000] "DELE 09. Foo Fighters - Ballad Of The Beaconsfield Miners.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE cover.jpg" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE 03 Put It Behind You.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE 02 Under Pressure.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE 01 The Night Sky.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:31 +0000] "RMD Keane - The Night Sky (for Warchild) [2007]" 550 -
125.212.197.233 UNKNOWN vietwow [27/Nov/2007:01:25:32 +0000] "RETR hinh.rar" 226 8807040
125.212.197.233 UNKNOWN vietwow [27/Nov/2007:01:28:14 +0000] "RETR hinh.rar" 226 8807040
Có vẻ như ko có gì bất thường
Đây là tail phần log của vm-pop3 :
Nov 27 08:49:21 server vm-pop3d[25779]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 08:49:21 server vm-pop3d[25779]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 08:49:22 server vm-pop3d[1398]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 08:49:22 server vm-pop3d[1398]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 08:49:22 server vm-pop3d[1743]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 08:49:22 server vm-pop3d[1743]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 08:49:23 server vm-pop3d[5408]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 08:49:23 server vm-pop3d[5408]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:10:38 server vm-pop3d[7995]: User 'voduc@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:10:39 server vm-pop3d[7995]: Session ended for user: 'voduc@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:11:51 server vm-pop3d[15533]: User 'voduc@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:11:52 server vm-pop3d[15533]: Session ended for user: 'voduc@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:12:07 server vm-pop3d[18233]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:12:07 server vm-pop3d[18233]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:17:07 server vm-pop3d[22079]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:17:07 server vm-pop3d[22079]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:22:07 server vm-pop3d[28582]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:22:07 server vm-pop3d[28582]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:30:15 server vm-pop3d[29847]: User 'maily@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:35:28 server vm-pop3d[10232]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[14079]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[13882]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[9827]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[3705]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[32417]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[1374]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[30077]: Quitting on signal: 15
Cũng ko có gì bất thường lắm
Đây là phần log của secure và cũng là phần "đáng ngờ" nhất, em nghĩ là em bị brute force pass ssh thì phải ?
Nov 25 04:55:07 server sshd[15483]: Did not receive identification string from ::ffff:210.245.85.115
Nov 25 05:57:55 server sshd[25990]: Failed password for admin from ::ffff:210.245.85.115 port 33494 ssh2
Nov 25 05:58:09 server sshd[27799]: Invalid user william from ::ffff:210.245.85.115
Nov 25 05:58:11 server sshd[27799]: Failed password for invalid user william from ::ffff:210.245.85.115 port 34354 ssh2
Nov 25 05:58:11 server sshd[27921]: Invalid user stephanie from ::ffff:210.245.85.115
Nov 25 05:58:14 server sshd[27921]: Failed password for invalid user stephanie from ::ffff:210.245.85.115 port 34484 ssh2
Nov 25 05:58:22 server sshd[28292]: Failed password for root from ::ffff:210.245.85.115 port 34917 ssh2
Nov 25 05:58:27 server sshd[28514]: Failed password for root from ::ffff:210.245.85.115 port 35209 ssh2
Nov 25 05:58:32 server sshd[29813]: Failed password for root from ::ffff:210.245.85.115 port 35501 ssh2
Nov 25 05:58:32 server sshd[29951]: Invalid user guest from ::ffff:210.245.85.115
Nov 25 05:58:35 server sshd[30093]: Invalid user test from ::ffff:210.245.85.115
Nov 25 05:58:37 server sshd[30093]: Failed password for invalid user test from ::ffff:210.245.85.115 port 35788 ssh2
Nov 25 05:58:38 server sshd[30238]: Invalid user oracle from ::ffff:210.245.85.115
Nov 25 05:58:40 server sshd[30238]: Failed password for invalid user oracle from ::ffff:210.245.85.115 port 35928 ssh2
Nov 25 05:59:01 server sshd[32301]: Failed password for root from ::ffff:210.245.85.115 port 37059 ssh2
Nov 25 05:59:20 server sshd[1838]: Failed password for root from ::ffff:210.245.85.115 port 38009 ssh2
Nov 25 05:59:25 server sshd[3151]: Failed password for root from ::ffff:210.245.85.115 port 38295 ssh2
Nov 25 05:59:27 server sshd[3277]: Failed password for root from ::ffff:210.245.85.115 port 38430 ssh2
Nov 25 05:59:33 server sshd[3518]: Failed password for root from ::ffff:210.245.85.115 port 38707 ssh2
Nov 25 05:59:38 server sshd[3815]: Failed password for invalid user apache from ::ffff:210.245.85.115 port 38989 ssh2
Nov 25 05:59:41 server sshd[3948]: Failed password for root from ::ffff:210.245.85.115 port 39134 ssh2
Nov 25 05:59:43 server sshd[4087]: Failed password for root from ::ffff:210.245.85.115 port 39272 ssh2
Nov 25 05:59:44 server sshd[5252]: Invalid user lab from ::ffff:210.245.85.115
Nov 25 05:59:54 server sshd[5733]: Invalid user iraf from ::ffff:210.245.85.115
Nov 25 05:59:57 server sshd[5834]: Invalid user swsoft from ::ffff:210.245.85.115
Nov 25 05:59:59 server sshd[5834]: Failed password for invalid user swsoft from ::ffff:210.245.85.115 port 40120 ssh2
Nov 25 05:59:59 server sshd[5939]: Invalid user production from ::ffff:210.245.85.115
Nov 25 07:11:33 server sshd[5748]: Invalid user stud from ::ffff:211.139.218.154
Nov 25 07:11:39 server sshd[5979]: Invalid user trash from ::ffff:211.139.218.154
Nov 25 07:11:42 server sshd[5998]: Invalid user aaron from ::ffff:211.139.218.154
Nov 25 11:09:45 server sshd[7309]: Did not receive identification string from ::ffff:210.34.7.115
Nov 25 21:51:50 server usermod[8100]: change user `vnblog' shell from `/bin/bash' to `/bin/false'
Nov 27 02:52:45 server sshd[5930]: User ftp not allowed because not listed in AllowUsers
Nov 27 02:53:43 server sshd[7348]: User mysql not allowed because not listed in AllowUsers
Còn đây là phần log của message :
Nov 27 09:35:01 server crond(pam_unix)[15874]: session opened for user root by (uid=0)
Nov 27 09:35:01 server crond(pam_unix)[15877]: session opened for user root by (uid=0)
Nov 27 09:35:01 server crond(pam_unix)[15881]: session opened for user root by (uid=0)
Nov 27 09:35:01 server crond(pam_unix)[15874]: session closed for user root
Nov 27 09:35:02 server crond(pam_unix)[15881]: session closed for user root
Nov 27 09:35:04 server crond(pam_unix)[15877]: session closed for user root
Nov 27 09:35:25 server shutdown: shutting down for system reboot
Nov 27 09:35:28 server proftpd: proftpd shutdown succeeded
Nov 27 09:35:28 server vm-pop3d: vm-pop3d shutdown succeeded
Nov 27 09:35:30 server directadmin: directadmin shutdown succeeded
Nov 27 09:35:30 server sshd: sshd -TERM succeeded
Nov 27 09:35:30 server da-popb4smtp: da-popb4smtp shutdown succeeded
Nov 27 09:35:30 server exim: Shutting down exim:
Nov 27 09:35:30 server exim:
Nov 27 09:35:30 server rc: Stopping exim: succeeded
Nov 27 09:35:30 server named[30024]: shutting down
Nov 27 09:35:30 server named[30024]: stopping command channel on 127.0.0.1#953
Nov 27 09:35:30 server named[30024]: no longer listening on 127.0.0.1#53
Nov 27 09:35:30 server named[30024]: no longer listening on 210.245.125.202#53
Nov 27 09:35:30 server named[30024]: exiting
Nov 27 09:35:30 server named: named shutdown succeeded
Nov 27 09:35:31 server snmpd: snmpd shutdown succeeded
Nov 27 09:35:32 server xinetd[24103]: Exiting...
Nov 27 09:35:32 server xinetd: xinetd shutdown succeeded
Nov 27 09:35:32 server crond: crond shutdown succeeded
Nov 27 09:35:33 server network: Shutting down interface venet0: succeeded
Nov 27 09:35:33 server network: Shutting down loopback interface: succeeded
Nov 27 09:35:33 server sysctl: net.ipv4.ip_forward = 0
Nov 27 09:35:33 server network: Disabling IPv4 packet forwarding: succeeded
Nov 27 09:35:33 server iptables: Flushing firewall rules:
Nov 27 09:35:33 server iptables: succeeded
Nov 27 09:35:33 server iptables:
Nov 27 09:35:33 server iptables: Setting chains to policy ACCEPT: mangle
Nov 27 09:35:33 server iptables: filter
Nov 27 09:35:33 server iptables: nat
Nov 27 09:35:33 server iptables: succeeded
Nov 27 09:35:33 server iptables:
Nov 27 09:35:33 server rc: Stopping iptables: succeeded
Nov 27 09:35:33 server rc: Stopping sysstat: succeeded
Nov 27 09:35:33 server rc: Starting killall: succeeded
Nov 27 09:35:33 server rc: Starting vzreboot: succeeded
Nov 27 09:35:33 server syslogd: exiting on signal 15
Anh xem giúp em với
Thanx anh
Thân |
|
|
|
|
[Question] Re: Hacked VPS !!! |
28/11/2007 07:54:36 (+0700) | #10 | 100706 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Những logs ở trên không có mấy thông tin hữu dụng . Có thể các thông tin cần thiết đã bị tay ấy xóa hết.
Theo kinh nghiệm tôi đoán rằng VPS này bị thâm nhập xuyên qua đường ftp và rootkit bị upload lên. Phỏng đoán có 2 phần bị lỗi trên VPS:
1) phiên bản proftpd bị lỗi bảo mật hoặc gán quyền cho ftp không chặt chẽ và cho phép upload file.
2) kernel bị lỗi hoặc một ứng dụng nào đó trên phiên bản linux trên cho phép gain root (sau khi bộ đồ nghề được upload thành công qua ftp).
Bồ cho biết:
- chế độ gán quyền của ftp hiện thời.
- phiên bản chính xác của proftpd hiện thời.
- phiên bản kernel chính xác hiện thời.
và nếu được, tên của rootkit mà bộ chkrootkit đã thông báo. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Hacked VPS !!! |
28/11/2007 08:53:51 (+0700) | #11 | 100724 |
|
rickb
Reseacher
|
Joined: 27/01/2007 17:47:27
Messages: 200
Offline
|
|
conmale wrote:
Những logs ở trên không có mấy thông tin hữu dụng . Có thể các thông tin cần thiết đã bị tay ấy xóa hết.
Theo kinh nghiệm tôi đoán rằng VPS này bị thâm nhập xuyên qua đường ftp và rootkit bị upload lên. Phỏng đoán có 2 phần bị lỗi trên VPS:
1) phiên bản proftpd bị lỗi bảo mật hoặc gán quyền cho ftp không chặt chẽ và cho phép upload file.
2) kernel bị lỗi hoặc một ứng dụng nào đó trên phiên bản linux trên cho phép gain root (sau khi bộ đồ nghề được upload thành công qua ftp).
Bồ cho biết:
- chế độ gán quyền của ftp hiện thời.
- phiên bản chính xác của proftpd hiện thời.
- phiên bản kernel chính xác hiện thời.
và nếu được, tên của rootkit mà bộ chkrootkit đã thông báo.
Tại sao anh ko cho rằng server bị attack qua đường ftp mà ko phải là ssh nhỉ ? Vì em thấy log ftp ko có gì bất thường trong khi secure log show rõ ràng có rất nhiều cuộc brute force ssh, và lần check lại gần đây nhất (hồi chiều nay) thì log secure còn thông báo "reverse mapping checking getaddrinfo for ... POSSIBLE BREAKIN ATTEMPT!" cũng như những dòng log mới :
Nov 25 05:59:44 server sshd[5252]: Invalid user lab from ::ffff:210.245.85.115
Nov 25 05:59:54 server sshd[5733]: Invalid user iraf from ::ffff:210.245.85.115
Nov 25 05:59:57 server sshd[5834]: Invalid user swsoft from ::ffff:210.245.85.115
Nov 25 05:59:59 server sshd[5834]: Failed password for invalid user swsoft from ::ffff:210.245.85.115 port 40120 ssh2
Nov 25 05:59:59 server sshd[5939]: Invalid user production from ::ffff:210.245.85.115
Nov 25 07:11:33 server sshd[5748]: Invalid user stud from ::ffff:211.139.218.154
Nov 25 07:11:39 server sshd[5979]: Invalid user trash from ::ffff:211.139.218.154
Nov 25 07:11:42 server sshd[5998]: Invalid user aaron from ::ffff:211.139.218.154
...........
Tức là attacker vẫn đang tiếp tục brute force SSH, và rõ ràng đây là 1 cuộc tấn công automatic vì nó try với những user hoàn toàn lạ
Kernel của vps em là :
-bash-3.00# uname -a
Linux server.website.com 2.6.18-ovz028stab039.1-enterprise #1 SMP Tue Jul 24 12:28:02 MSD 2007 i686 i686 i386 GNU/Linux
Version của proftpd của em là :
proftpd-standalone-1.2.10-1
proftpd-1.2.10-1
bản proftp này ko phải em cài riêng, mà nó là từ bộ DirectAdmin (1 WHM gống cpanel)
Còn anh hỏi về "cơ chế gán quyền của ftp hiện thời" là sao nhỉ ? em chưa rõ lắm, làm sao để check vậy anh ?
Thân
|
|
|
|
|
[Question] Re: Hacked VPS !!! |
28/11/2007 18:31:36 (+0700) | #12 | 100822 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
rickb wrote:
Tại sao anh ko cho rằng server bị attack qua đường ftp mà ko phải là ssh nhỉ ? Vì em thấy log ftp ko có gì bất thường trong khi secure log show rõ ràng có rất nhiều cuộc brute force ssh, và lần check lại gần đây nhất (hồi chiều nay) thì log secure còn thông báo "reverse mapping checking getaddrinfo for ... POSSIBLE BREAKIN ATTEMPT!" cũng như những dòng log mới :
Nov 25 05:59:44 server sshd[5252]: Invalid user lab from ::ffff:210.245.85.115
Nov 25 05:59:54 server sshd[5733]: Invalid user iraf from ::ffff:210.245.85.115
Nov 25 05:59:57 server sshd[5834]: Invalid user swsoft from ::ffff:210.245.85.115
Nov 25 05:59:59 server sshd[5834]: Failed password for invalid user swsoft from ::ffff:210.245.85.115 port 40120 ssh2
Nov 25 05:59:59 server sshd[5939]: Invalid user production from ::ffff:210.245.85.115
Nov 25 07:11:33 server sshd[5748]: Invalid user stud from ::ffff:211.139.218.154
Nov 25 07:11:39 server sshd[5979]: Invalid user trash from ::ffff:211.139.218.154
Nov 25 07:11:42 server sshd[5998]: Invalid user aaron from ::ffff:211.139.218.154
...........
Tức là attacker vẫn đang tiếp tục brute force SSH, và rõ ràng đây là 1 cuộc tấn công automatic vì nó try với những user hoàn toàn lạ
Bởi vì ftp bị hở thì đó là cách upload rootkit + exploit tools lên nhanh nhất và dễ nhất.
Các thông tin ở trên chưa cho thấy dấu hiệu SSH đã bị brute thành công.
sshd_config nên chỉnh các giá trị:
PermitRootLogin no
StrictModes yes
MaxAuthTries 3
Nếu cần, đổi luôn ssh port từ 22 thành 1 port khác trong dãy highport ( > 1024).
rickb wrote:
Kernel của vps em là :
-bash-3.00# uname -a
Linux server.website.com 2.6.18-ovz028stab039.1-enterprise #1 SMP Tue Jul 24 12:28:02 MSD 2007 i686 i686 i386 GNU/Linux
Version này bị local privilege escalation. RedHat đã công bố bản cập nhật ở đây: https://rhn.redhat.com/errata/RHSA-2007-0939.html
Vì nó bị local privilege escalation nên bất cứ ai có thể login command shell (ftp user chẳng hạn) đều có thể upload tools để gia tăng chủ quyền thành root.
rickb wrote:
Version của proftpd của em là :
proftpd-standalone-1.2.10-1
proftpd-1.2.10-1
bản proftp này ko phải em cài riêng, mà nó là từ bộ DirectAdmin (1 WHM gống cpanel)
Phiên bản này ok.
rickb wrote:
Còn anh hỏi về "cơ chế gán quyền của ftp hiện thời" là sao nhỉ ? em chưa rõ lắm, làm sao để check vậy anh ?
Thân
Check xem user có quyền upload files là user nào, thuộc nhóm nào? guest có được quyền upload hay không? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Hacked VPS !!! |
28/11/2007 22:41:54 (+0700) | #13 | 100838 |
subnetwork
Member
|
0 |
|
|
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
|
|
Hi rickb, anh conmale
Mình có ý kiến như sau
- Bạn nên restore backup hệ thống của bạn .
- Cấu hình SSH theo như đề nghị của anh conmale ở trên . Ngoài ra chroot SSH là điều nên làm .
- Cài đặt thêm chkrootkit cho VPS và viết một cron cho nó , nhét nó vào /etc/cron.daily/ .
Về phần cron bạn quy định ngày giờ cho nó, một cron đơn giản như sau
#!/bin/bash
cd /usr/local/chkrootkit-0.47/
./chkrootkit | mail -s "Daily chkrootkit from My server" nixmicrosoft@yahoo.com
- Do VPS của bạn có nhiều người dùng trên nó (khách hàng) cho nên bắt buộc bạn thiết lập FTP để cho khách hàng của bạn sử dụng . Đây là một http://vsftpd.beasts.org/ mà mình đề cử vsftpd thay vì proftpd.
Cài đặt và cấu hình cho nó cẩn thận, các rootkit đa phần bắt nguồn từ lổ hổng FTP cho nên nếu VPS của bạn ít khách hàng thì không nên sử dụng FTP là an toàn nhất, thay thế FTP là SFTP
Xem lại cấu hình PAM cho vsftd (nếu dùng) /etc/pam.d/vsftpd tập tin này dùng để yêu cầu người dùng cung cấp thông tin để đăng nhập vào ftp server . Đối với FTP server thì việc thiết lập tài khoản guest/anonymous rất quan trọng và không nên enable nó . Tham khảo thêm anonymous_enable trong vsftpd (nếu bạn dùng vsftpd)
- Về phần dịch vụ trên VPS kiểm tra lại tòan bộ tất cả các dịch vụ, ghi chép, lưu trử log cẩn thận , các dịch vụ nào không cần thiết thì nên delete nó .
- Đối với mysql củng tương tự, xóa các database mặc định, gán quyền phù hợp và nên nhớ không nên sử dụng tài khoản root để nhằm chạy các ứng dụng này , bạn cần thiết lập 1 tài khoản dùng để chạy các dịch vụ này mà thôi .
Ngoài ra nếu rảnh, tôi đề nghị nên chroot apache, mysql
http://www.securityfocus.com/infocus/1786
- Kiểm tra lại toàn bộ khách hàng có trên VPS và gán quyền phù hợp cho từng user có trên đó .
Vài ý kiến |
|
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com |
|
|
|
[Question] Re: Hacked VPS !!! |
29/11/2007 00:36:49 (+0700) | #14 | 100865 |
|
rickb
Reseacher
|
Joined: 27/01/2007 17:47:27
Messages: 200
Offline
|
|
Thanx anh conmale và GA rất nhiều, thực ra mấy kỹ thuật chroot, audit system, fix vulnerablity ... thì em đều đã học & thực tập qua nhưng do chủ quan quá nên mới ra nông nỗi vậy Đây coi như là 1 bài học quý giá và cũng giúp em có kinh nghiệm thực tế nhiều hơn
Thân |
|
|
|
|
[Question] Re: Hacked VPS !!! |
29/11/2007 21:59:19 (+0700) | #15 | 101091 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
rickb wrote:
Thanx anh conmale và GA rất nhiều, thực ra mấy kỹ thuật chroot, audit system, fix vulnerablity ... thì em đều đã học & thực tập qua nhưng do chủ quan quá nên mới ra nông nỗi vậy Đây coi như là 1 bài học quý giá và cũng giúp em có kinh nghiệm thực tế nhiều hơn
Thân
Nơi nào không cần ftp hoặc có thể dùng sftp thì đừng dùng ftp. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Hacked VPS !!! |
30/11/2007 06:22:05 (+0700) | #16 | 101177 |
|
siro
Member
|
0 |
|
|
Joined: 20/11/2004 02:12:18
Messages: 12
Offline
|
|
conmale viết :
Bởi vì ftp bị hở thì đó là cách upload rootkit + exploit tools lên nhanh nhất và dễ nhất.
Anh conmale cho em hỏi : cho dù người ta có quyền upload rootkit + exploit tools lên thư mục nào đó , nhưng họ không có quyền thực thi thì làm sao mà exploit được ( bị local privilege escalation như anh nói ) .
|
|
|
|
|
[Question] Re: Hacked VPS !!! |
30/11/2007 07:29:57 (+0700) | #17 | 101186 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
siro wrote:
conmale viết :
Bởi vì ftp bị hở thì đó là cách upload rootkit + exploit tools lên nhanh nhất và dễ nhất.
Anh conmale cho em hỏi : cho dù người ta có quyền upload rootkit + exploit tools lên thư mục nào đó , nhưng họ không có quyền thực thi thì làm sao mà exploit được ( bị local privilege escalation như anh nói ) .
Nếu account dùng để upload files lên ftp không thể thực thi và account này không có quyền access console (interactive) thì tất nhiên không thể dùng nó để exploit. Tuy nhiên, cơ hội thực thi xuyên qua một account khác bằng phương tiện khác vẫn có thể xảy ra.
Thông thường khách hàng có ftp, web, ssh.... thường dùng chung một account. Nếu account này bị nhân nhượng thì nó có thể dùng để thực thi công việc nào đó. Nếu ftp cho phép upload ở chế độ anonymous và không cho thực thi, kẻ tấn công vẫn có thể dùng cách khác, ví dụ như xuyên qua http / php / cgi... để thực thi. Một hệ thống càng cung cấp nhiều phương tiện để người dùng tương tác thì nó càng tạo nhiều cơ hội để thâm nhập.
Thân mến. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Hacked VPS !!! |
01/12/2007 09:41:48 (+0700) | #18 | 101370 |
|
siro
Member
|
0 |
|
|
Joined: 20/11/2004 02:12:18
Messages: 12
Offline
|
|
Cảm ơn câu trả lời của anh conmale , em học hỏi được rất nhiều điều từ chủ đề này . |
|
|
|
|
[Question] Re: Hacked VPS !!! |
01/12/2007 14:25:42 (+0700) | #19 | 101400 |
|
lion_king_lovely_1985
Member
|
0 |
|
|
Joined: 05/09/2006 20:13:20
Messages: 156
Location: HTTP://HTVSITE.COM
Offline
|
|
Xin lỗi conmale, LKL ko có ý gì đâu, chỉ là vì ko nghĩ conmale sẽ viết chính xác dir mà tác giả bài viết đã cố tránh thôi.
Dù gì thì cũng ko sao, vì đó là cái chung... mà chỉ có người "chưa "ra đời" lâu đủ" như LKL mới để ý đến ^^
Topic này học hỏi được nhiều lắm, thanks đầu tiên là từ người post lên topic, đã nói rất chi tiết về tình hình hệ thống, cái thanks thứ 2 là việc conmale và anh em đã liệt kê hầu hết các sơ hở dẫn đến việc kẻ tấn công có khả năng cài rootkit lên VPS của author.
Tuy nhiên thì vẫn chưa thực sự chứng thực đựoc rằng: Nguyên nhân chính xác là do đâu. Nhưng cũng phải nói rằng:"Việc attrack 1 VPS ko có nghĩa là chỉ lạm dụng chỉ riêng 1 sơ hở nào đó, mà biết đâu nó có thể năm trong 1, 2, 3 thậm chí là tất cả các sơ hở được liệt kê ở trên"!!!
Vì vậy, cách tốt nhất là nắm bắt tất cả sơ hở trên đây kèm thêm hiểu biêt lúc trước của mình để rút kinh nghiệm thôi!!!
Thanks again!!!
Thân LKL!!! |
|
HỌC THIẾT KẾ WEBSITE | HỌC LẬP TRÌNH WEBSITE | HỌC QUẢN TRỊ WEBSITE | HỌC LẬP TRÌNH PHP & MySQL
HTTP://HTVSITE.COM |
|
|
|
[Question] Re: Hacked VPS !!! |
01/12/2007 23:34:31 (+0700) | #20 | 101425 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
lion_king_lovely_1985 wrote:
Xin lỗi conmale, LKL ko có ý gì đâu, chỉ là vì ko nghĩ conmale sẽ viết chính xác dir mà tác giả bài viết đã cố tránh thôi.
Dù gì thì cũng ko sao, vì đó là cái chung... mà chỉ có người "chưa "ra đời" lâu đủ" như LKL mới để ý đến ^^
Topic này học hỏi được nhiều lắm, thanks đầu tiên là từ người post lên topic, đã nói rất chi tiết về tình hình hệ thống, cái thanks thứ 2 là việc conmale và anh em đã liệt kê hầu hết các sơ hở dẫn đến việc kẻ tấn công có khả năng cài rootkit lên VPS của author.
Tuy nhiên thì vẫn chưa thực sự chứng thực đựoc rằng: Nguyên nhân chính xác là do đâu. Nhưng cũng phải nói rằng:"Việc attrack 1 VPS ko có nghĩa là chỉ lạm dụng chỉ riêng 1 sơ hở nào đó, mà biết đâu nó có thể năm trong 1, 2, 3 thậm chí là tất cả các sơ hở được liệt kê ở trên"!!!
Vì vậy, cách tốt nhất là nắm bắt tất cả sơ hở trên đây kèm thêm hiểu biêt lúc trước của mình để rút kinh nghiệm thôi!!!
Thanks again!!!
Thân LKL!!!
Computer forensic là một mảng rất khó và lý thú. Nếu system không có những chuẩn bị cần thiết từ trước và kẻ tấn công có ít nhiều kinh nghiệm xóa dấu thì việc truy tìm nguyên nhân là điều gần như không thể được. Hơn nữa, những thông tin trao đổi ở đây chỉ mang tính minh họa cho nên dùng nó để điều tra (qua diễn đàn) thì đó là điều... không tưởng
Các trao đổi ở đây thật ra chỉ nằm ở mức độ khái niệm. Nếu dùng các trao đổi ở trên để rút kinh nghiệm và để nghiên cứu sâu hơn thì được nhưng nếu dự phỏng sẽ tìm ra được nguyên nhân thì có lẽ 99% là không.
Thân mến. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
|