Отбил небольшой DDOS ;)
DDOS на HTTP 20 Мбит входящего. Отбито софтварным костылем 
Конфигурация машины: Quad Core Xeon / 4G RAM, CentOS 5.3 x86_64
Сервисы: apache(back) + nginx(front)
Опыт виртуализации систем на основе Virtuozzo
В общем, технология OpenVZ мне очень понравилась, за исключением некоторых мелких решаемых глюков. На этой основе сейчас стоят десятки разнесенных изолированных системных окружений и работают на ура.
Но есть примочка к OpenVZ, называемая Virtuozzo Containers от фирмы Parallels. Это набор GUI и CLI утилит для управления виртуальными окружениями. И захотелось мне ее попробовать, покрутить, повертеть. Прицениться так сказать.
У Virtuozzo Containers есть триальная лицензия, выдаваемая на месяц, в которой ничего не ограничено. Да, я помню свои первые впечатления при работе в Parallels Management Console, Parallels Infrastructure Manager. Ну просто ах! Реально чувствуешь себя мега-гипервизором, потому что все виртуальные машины как на ладони и легкими и простыми манипуляциями мыши можно делать весьма сложные задачи.
Но вот покрутил я повертел Virtuozzo Containers и решил купить….
Обнаружено формирование крупного ботнета
С середины декабря 2008 (минимум) формируется неизвестный массивный ботнет. Назовем его “Кубик“. Троянятся не клиентские машины, а сервера на могучих каналах.
“Кубик” потому что в качестве основы проникновения используется некая уязвимость в RoundCube. Который, в свою очередь в открытом виде поставляется на сервера с панелью DirectAdmin.
Все проникновения однотипны. Эксплуатируя уязвимость, атакующий бот загружает на сервер перловый или бинарный скрипт в /tmp или /var/tmp. Оттуда скрипт выполняется (если нет опции монтирования noexec) и докачивает целый букет хакрских утилит.
В первую очередь, устанавливается и выполняется IRC-бот. Именно по этому я решил что формируется ботнет. Далее, если повезет с уязвимостью ядра 2.6.18-53 (или другим способом повышения привилегий), взломщик получает рута и устанавливает RootKit.Linux.Agent.v или подобную заразу.
Вот так заглючило
[root@server ~]# ls -l /root/ | grep core
-rw——- 1 root wheel 569344 Oct 26 19:45 bash.core
-rw——- 1 root wheel 327680 Oct 26 19:45 cat.core
-rw——- 1 root wheel 659456 Oct 26 19:42 dmesg.core
-rw——- 1 root wheel 344064 Oct 26 19:45 find.core
-rw——- 1 root wheel 413696 Oct 26 19:45 grep.core
-rw——- 1 root wheel 647168 Oct 26 19:45 mc.core
-rw——- 1 root wheel 434176 Oct 26 19:30 ntpdate.core
-rw——- 1 root wheel 356352 Oct 26 19:44 pt_chown.core
-rw——- 1 root wheel 315392 Oct 26 19:45 rm.core
-rw——- 1 root wheel 364544 Oct 26 17:30 sh.core
-rw——- 1 root wheel 1261568 Oct 26 19:43 top.core
-rw——- 1 root wheel 344064 Oct 26 19:41 uptime.core
-rw——- 1 root wheel 327680 Oct 26 19:45 wc.core
Эээстооонскииий dmesg
Сегодня мне dmesg выдал эстонский отжиг
pid 11197 (httpd), uid 80: exited on signal 11
pid 11195 (httpd), uid 80: exited on signal 11
<<6>p6>piidd 1111119902 ( (hhttttppdd)),, uuiidd 8800:: eexxiitteedd oonn ssiiggnanla l 1111
RootKit пролез через Veritas NetBackup
Если у вас стоит Linux, и вдруг ни с того ни с сего некоторые ключевые команды перестают работать:
# top
top: error while loading shared libraries: libncurses.so.4: cannot open shared object file: No such file or directory
То это АХТУНГ. Похоже вам впарили RootKit.
Вначале я конечно пытался правильно залинковать libncurses, пока не дошло что системный файл “top” а так же много других, были подменены.
А дело было так.
На сервер одного из моих клиентов по инициативе хостера был поставлен некий софт – “Veritas Netbackup“.
Спустя какое то время сервер крешнулся и после ребута начались чудеса. Команда “top” не работает, dmesg матерится на Hz и т.д. В остальном все вроде как работает. Покопавшись, с измулением обнаружил на сервере какую то версию RootKit. (ссылка в помощь – http://www.chkrootkit.org/).
Откуда на серваке взялся руткит, трудно было предположить. Левых сервисов взял за правило не держать. Но потом вспомнил что хостер ставил этот NetBackup и нашел в нем много уязвимостей.
При попытке почистить руткит по сети, процессы руткита отреагировали жестко и начали тушить мои процессы. Не долго думая, набрал команду “shutdown now” и отослал инструкции (с матюками) хостеру о загрузке с livecd.
Довольно много системных файлов было подменено и руткит довольно хорошо пролез в startup. По сему было принято решение о полном реинсталле системы.
Вывод: не стоит доверять софту хостера.
PS. Хостер довольно крупный и там хостится хз сколько серверов… И все потенциально затрояненые… Ужос нах.
Сисадминская народная мудрость
Работает? Не трогай!
Пикчер оф зе дей
- Восстановление сбойного загрузочного диска в Linux RAID 1
- Skype – скрытая угроза
- Удаленный мониторинг хардварного RAID DELL Perc 6/i (LSI) с помощью Nagios и SNMPd
- Мониторинг Software RAID в Linux с помощью Nagios
- Патч pure-ftpd для корректной обработки докачки
- Отбил небольшой DDOS ;)
- База сообщений ICQ Lite
- Установка X/KDE на удаленный CentOS сервер/VDS
- Уменьшение потребления памяти MySQL
- Статья: Что такое VDS хостинг?
- Почему cacti не подходит для точного биллинга
- Файрволл для сисадмина
Свежие записи
Ссылки
Пользователю
- Ноябрь 2009 (1)
- Июль 2009 (3)
- Июнь 2009 (1)
- Май 2009 (1)
- Апрель 2009 (2)
- Март 2009 (5)
- Февраль 2009 (9)
- Октябрь 2008 (6)
- Сентябрь 2008 (1)
- Август 2008 (1)
- Июль 2008 (11)
- FixIT
- HOWTO
- Monitoring
- Windows
- Базы Данных
- Безопасность
- Виртуализация
- Десктоп
- Кластерные системы
- Очумелые ручки
- Происшествия
- Статьи
- Тестовая площадка
- Тюнинг
- Утилиты
- Юмор