[root@node-01]# ls -al /vz/private/xxxx/bin | grep Nov
drwxr-xr-x 2 root root 4096 Nov 23 03:15 .
drwxr-xr-x 23 root root 4096 Nov 27 10:25 ..
-rwxr-xr-x 1 root root 6908 Nov 27 10:49 arch
-rwxr-xr-x 1 root root 17164 Nov 27 10:49 basename
-rwxr-xr-x 1 root root 614584 Nov 27 10:25 bash
-rwxr-xr-x 1 root root 20856 Nov 27 10:49 cat
-rwxr-xr-x 1 root root 36604 Nov 27 10:49 chgrp
-rwxr-xr-x 1 root root 36196 Nov 27 10:49 chmod
-rwxr-xr-x 1 root root 43164 Nov 27 10:49 chown
-rwxr-xr-x 1 root root 60016 Nov 27 10:49 cp
-rwxr-xr-x 1 root root 55852 Nov 27 10:49 cpio
-rwxr-xr-x 1 root root 31024 Nov 27 10:48 cut
-rwxr-xr-x 1 root root 49024 Nov 27 10:49 date
-rwxr-xr-x 1 root root 33168 Nov 27 10:49 dd
-rwxr-xr-x 1 root root 47752 Nov 27 10:49 ed
-rwxr-xr-x 1 root root 250744 Nov 27 10:49 gawk
-rwxr-xr-x 1 root root 76104 Nov 27 10:49 grep
-rwxr-xr-x 1 root root 159620 Nov 27 10:49 tar
-rwxr-xr-x 1 root root 310016 Nov 27 10:49 tcsh
-rwxr-xr-x 1 root root 472992 Nov 27 10:49 vi
 

Khác hàng mình sử dụng 1 VPS thuê từ Hosting Provider của cty mình, mới sáng nay khách hàng contact mình và thông báo rằng server ko còn access được nữa, mình thử ssh vào VPS thì đúng là ko được, thế là mình ssh vào Hardware Node (Physical Server) và access vào VPS, sau khi check sơ bộ thì mình phát hiện vps khách hàng mình đã bị hack & cài rootkit :

[root@node-01]# ls -al /vz/private/7075/bin | grep Nov
drwxr-xr-x 2 root root 4096 Nov 23 03:15 .
drwxr-xr-x 23 root root 4096 Nov 27 10:25 ..
-rwxr-xr-x 1 root root 6908 Nov 27 10:49 arch
-rwxr-xr-x 1 root root 17164 Nov 27 10:49 basename
-rwxr-xr-x 1 root root 614584 Nov 27 10:25 bash
-rwxr-xr-x 1 root root 20856 Nov 27 10:49 cat
-rwxr-xr-x 1 root root 36604 Nov 27 10:49 chgrp
-rwxr-xr-x 1 root root 36196 Nov 27 10:49 chmod
-rwxr-xr-x 1 root root 43164 Nov 27 10:49 chown
-rwxr-xr-x 1 root root 60016 Nov 27 10:49 cp
-rwxr-xr-x 1 root root 55852 Nov 27 10:49 cpio
-rwxr-xr-x 1 root root 31024 Nov 27 10:48 cut
-rwxr-xr-x 1 root root 49024 Nov 27 10:49 date
-rwxr-xr-x 1 root root 33168 Nov 27 10:49 dd
-rwxr-xr-x 1 root root 47752 Nov 27 10:49 ed
-rwxr-xr-x 1 root root 250744 Nov 27 10:49 gawk
-rwxr-xr-x 1 root root 76104 Nov 27 10:49 grep
-rwxr-xr-x 1 root root 159620 Nov 27 10:49 tar
-rwxr-xr-x 1 root root 310016 Nov 27 10:49 tcsh
-rwxr-xr-x 1 root root 472992 Nov 27 10:49 vi
 

Theo output trên thì hệ thống đã bị cài rootkit vào ngay hôm nay (27/11), mình đã down chkrootkit và rkhunter về check thì chính xác là đã bị cài rootkit

Như vậy, ngaòi việc backup data & cài lại OS mới (VPS mới) thì còn giải pháp nào không nhỉ ? Ai cho mình 1 lời khuyên với

Cám ơn
Thân 

Việc cài lại OS và phục hồi lại data là việc hoàn toàn cần thiết sau khi bị rootkit (bởi vì để phân tích và diệt tận gốc rootkit là điều không bảo đảm và phí thời gian).

Quan trọng hơn nữa là cần tìm ra nguồn gốc và lý do tại sao bị rootkit để ngăn ngừa tình trạng cũ lại xảy ra. Nếu không, cài OS và phục hồi data là chuyện sẽ xảy ra dài dài. 

conmale wrote:

Việc cài lại OS và phục hồi lại data là việc hoàn toàn cần thiết sau khi bị rootkit (bởi vì để phân tích và diệt tận gốc rootkit là điều không bảo đảm và phí thời gian).

Quan trọng hơn nữa là cần tìm ra nguồn gốc và lý do tại sao bị rootkit để ngăn ngừa tình trạng cũ lại xảy ra. Nếu không, cài OS và phục hồi data là chuyện sẽ xảy ra dài dài. 

Hiện tại em đã cô lập VPS (ko thể access từ NET được nữa). Cả Hardware và VPS đều sử dụng CentOS, riêng Hardware node sử dụng OpenVZ cho giải pháp Vitualization. Nhưng em nghĩ vấn đển chỉ nằm ở VPS mà ko nằm ở Hardware node, vì chỉ có VPS là bị hack, còn Hardware Node và tất cả VPS khác ko bị gì hết. Vậy theo anh bây giờ em nên làm những gì để có thể xác định được nguồn gốc và lý do tại sao bị cài rootkit ? Do em thường xuyên ssh vào server vào các thởi điểm ko cố định và em cũng ko sử dụng IP tĩnh (ADSL) vì thế thông tin từ lệnh last gần như ko có ích. Mong anh cho em 1 số hướng để giải quyết vấn để

Thanx 

[root@node-01]# ls -al /vz/private/xxxx/bin | grep Nov 

[root@node-01]# ls -al /vz/private/7075/bin | grep Nov  

conmale wrote:

[root@node-01]# ls -al /vz/private/xxxx/bin | grep Nov 

Chỗ này chắc chẳng mấy ai để ý

Vậy mà sao pác conmale nhà ta lại xài mây con số đó cho folder xxxx của rickb thế nhỉ???

================ 7075 ==============

rickb wrote:

[root@node-01]# ls -al /vz/private/7075/bin | grep Nov  

 

xxxx là thư mục của vps (mình đã edit) bị hack 

-bash-3.00# netstat -natp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN 23851/snmpd
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 24326/mysqld
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 23929/exim
tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 24204/vm-pop3d
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 23888/xinetd
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 24102/httpd
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 26587/named
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 24161/proftpd: (acc
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN 23888/xinetd
tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 26587/named
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 23929/exim
tcp 0 0 0.0.0.0:11643 0.0.0.0:* LISTEN 26430/httpd -DSSL
tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 24102/httpd
-bash-3.00#
-bash-3.00#
-bash-3.00#
-bash-3.00# ps axf
Unknown HZ value! (186) Assume 100.
PID TTY STAT TIME COMMAND
1 ? S 0:00 init [3]
22315 ? S 0:00 minilogd
23820 ? S 0:00 /etc/rc3.d/S12syslog start
23821 ? S 0:00 \_ /bin/sh
23851 ? S 0:00 /usr/sbin/snmpd -Lsd -Lf /dev/null -p /var/run/snmpd -a
23865 ? S 0:00 /usr/sbin/sshd
23888 ? S 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
23902 ? S 0:00 /usr/local/directadmin/da-popb4smtp
23929 ? S 0:00 /usr/sbin/exim -bd -q15m -oP /var/run/exim.pid
23941 ? S 0:00 /etc/rc3.d/S84syslog start
23942 ? S 0:00 \_ /bin/sh
24102 ? S 0:00 /usr/sbin/httpd -k start -DSSL
24187 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24189 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24191 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24192 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24193 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24194 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL
24161 ? S 0:00 proftpd: (accepting connections)
24204 ? S 0:00 vm-pop3d -d 10 -t 600
24205 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24206 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24207 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24212 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24213 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24214 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24215 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24216 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24217 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24218 ? S 0:00 \_ vm-pop3d -d 10 -t 600
24245 ? S 0:00 crond
24267 ? S 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/server.website.com.pid
24326 ? S 0:00 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/server.website.com.pid --skip-ex
26024 ? S 0:00 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/server.website.com.pid --ski
26025 ? S 0:00 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/server.website.com.pid -
26430 ? S 0:00 /usr/local/apache/bin/httpd -DSSL
26587 ? S 0:00 named -u named
29813 ? R 0:00 vzctl: pts/0
29814 pts/0 S 0:00 \_ -bash
30050 pts/0 R 0:00 \_ ps axf
-bash-3.00#
 

Xem ra có proftpd và vm-pop3d là đáng ngờ. Chạy snmpd và mysqld mở ra như thế là cực nguy.

snmpd không dùng để tấn công trực tiếp nhưng có thể dùng nó để gặt hái thông tin nhạy cảm.

mysqld không thể trực tiếp tấn công và thiết lập rootkit được nhưng nó có thể bị brute force và mất quyền quản lý sql. Thậm chí nếu config không kỹ nó có thể bị leo thang chủ quyền.


Bồ thảy lên các log của:

- proftpd trước và sau khi phát hiện bị rootkit.
- vm-pop3d trước và sau khi phát hiện bị rootkit.
- /var/log/secure + /var/log/messages trước và sau khi phát hiện bị rootkit.
- last trước và sau khi phát hiện bị rootkit.
- .history của root (có thể không còn gì lý thú như ít ra có thể phân tích được vài điều).
- .history của account nào làm chủ VPS instance đó (có thể không còn gì lý thú như ít ra có thể phân tích được vài điều).


to lion_king_lovely_1985: những ai làm "trong ngành" thì ít nhất bị dính rootkit 1 lần trong đời. Đây là chuyện bình thường. Nếu chưa bị dính bao giờ thì tự nhủ rằng mình may mắn hoặc chưa "ra đời" lâu đủ . 

118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 06. Foo Fighters - Stranger Things Have Happened.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 05. Foo Fighters - Come Alive.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 04. Foo Fighters - Long Road To Ruin.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 03. Foo Fighters - Erase,Replace.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 02. Foo Fighters - Let It Die.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 01. Foo Fighters - The Pretender.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 00. Foo Fighters - Echoes, Silence, Patience & Grace.sfv" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 00. Foo Fighters - Echoes, Silence, Patience & Grace.nfo" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 00. Foo Fighters - Echoes, Silence, Patience & Grace.m3u" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "RMD Foo Fighters - Echoes, Silence, Patience & Grace [V0]" 550 -
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:17:34 +0000] "STOR untitled.JPG" 226 10406
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:36 +0000] "RNFR untitled.JPG" 350 0
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:36 +0000] "RNTO kei.jpg" 250 0
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:42 +0000] "RNFR kei.jpg" 350 0
222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:42 +0000] "RNTO 141.jpg" 250 0
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:10 +0000] "DELE 09. Foo Fighters - Ballad Of The Beaconsfield Miners.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:16 +0000] "DELE 09. Foo Fighters - Ballad Of The Beaconsfield Miners.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE cover.jpg" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE 03 Put It Behind You.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE 02 Under Pressure.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE 01 The Night Sky.mp3" 550 -
118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:31 +0000] "RMD Keane - The Night Sky (for Warchild) [2007]" 550 -
125.212.197.233 UNKNOWN vietwow [27/Nov/2007:01:25:32 +0000] "RETR hinh.rar" 226 8807040
125.212.197.233 UNKNOWN vietwow [27/Nov/2007:01:28:14 +0000] "RETR hinh.rar" 226 8807040
 

Nov 27 08:49:21 server vm-pop3d[25779]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 08:49:21 server vm-pop3d[25779]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 08:49:22 server vm-pop3d[1398]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 08:49:22 server vm-pop3d[1398]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 08:49:22 server vm-pop3d[1743]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 08:49:22 server vm-pop3d[1743]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 08:49:23 server vm-pop3d[5408]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 08:49:23 server vm-pop3d[5408]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:10:38 server vm-pop3d[7995]: User 'voduc@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:10:39 server vm-pop3d[7995]: Session ended for user: 'voduc@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:11:51 server vm-pop3d[15533]: User 'voduc@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:11:52 server vm-pop3d[15533]: Session ended for user: 'voduc@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:12:07 server vm-pop3d[18233]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:12:07 server vm-pop3d[18233]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:17:07 server vm-pop3d[22079]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:17:07 server vm-pop3d[22079]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:22:07 server vm-pop3d[28582]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:22:07 server vm-pop3d[28582]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0
Nov 27 09:30:15 server vm-pop3d[29847]: User 'maily@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0
Nov 27 09:35:28 server vm-pop3d[10232]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[14079]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[13882]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[9827]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[3705]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[32417]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[1374]: Quitting on signal: 15
Nov 27 09:35:28 server vm-pop3d[30077]: Quitting on signal: 15
 

Nov 25 04:55:07 server sshd[15483]: Did not receive identification string from ::ffff:210.245.85.115
Nov 25 05:57:55 server sshd[25990]: Failed password for admin from ::ffff:210.245.85.115 port 33494 ssh2
Nov 25 05:58:09 server sshd[27799]: Invalid user william from ::ffff:210.245.85.115
Nov 25 05:58:11 server sshd[27799]: Failed password for invalid user william from ::ffff:210.245.85.115 port 34354 ssh2
Nov 25 05:58:11 server sshd[27921]: Invalid user stephanie from ::ffff:210.245.85.115
Nov 25 05:58:14 server sshd[27921]: Failed password for invalid user stephanie from ::ffff:210.245.85.115 port 34484 ssh2
Nov 25 05:58:22 server sshd[28292]: Failed password for root from ::ffff:210.245.85.115 port 34917 ssh2
Nov 25 05:58:27 server sshd[28514]: Failed password for root from ::ffff:210.245.85.115 port 35209 ssh2
Nov 25 05:58:32 server sshd[29813]: Failed password for root from ::ffff:210.245.85.115 port 35501 ssh2
Nov 25 05:58:32 server sshd[29951]: Invalid user guest from ::ffff:210.245.85.115
Nov 25 05:58:35 server sshd[30093]: Invalid user test from ::ffff:210.245.85.115
Nov 25 05:58:37 server sshd[30093]: Failed password for invalid user test from ::ffff:210.245.85.115 port 35788 ssh2
Nov 25 05:58:38 server sshd[30238]: Invalid user oracle from ::ffff:210.245.85.115
Nov 25 05:58:40 server sshd[30238]: Failed password for invalid user oracle from ::ffff:210.245.85.115 port 35928 ssh2
Nov 25 05:59:01 server sshd[32301]: Failed password for root from ::ffff:210.245.85.115 port 37059 ssh2
Nov 25 05:59:20 server sshd[1838]: Failed password for root from ::ffff:210.245.85.115 port 38009 ssh2
Nov 25 05:59:25 server sshd[3151]: Failed password for root from ::ffff:210.245.85.115 port 38295 ssh2
Nov 25 05:59:27 server sshd[3277]: Failed password for root from ::ffff:210.245.85.115 port 38430 ssh2
Nov 25 05:59:33 server sshd[3518]: Failed password for root from ::ffff:210.245.85.115 port 38707 ssh2
Nov 25 05:59:38 server sshd[3815]: Failed password for invalid user apache from ::ffff:210.245.85.115 port 38989 ssh2
Nov 25 05:59:41 server sshd[3948]: Failed password for root from ::ffff:210.245.85.115 port 39134 ssh2
Nov 25 05:59:43 server sshd[4087]: Failed password for root from ::ffff:210.245.85.115 port 39272 ssh2
Nov 25 05:59:44 server sshd[5252]: Invalid user lab from ::ffff:210.245.85.115
Nov 25 05:59:54 server sshd[5733]: Invalid user iraf from ::ffff:210.245.85.115
Nov 25 05:59:57 server sshd[5834]: Invalid user swsoft from ::ffff:210.245.85.115
Nov 25 05:59:59 server sshd[5834]: Failed password for invalid user swsoft from ::ffff:210.245.85.115 port 40120 ssh2
Nov 25 05:59:59 server sshd[5939]: Invalid user production from ::ffff:210.245.85.115
Nov 25 07:11:33 server sshd[5748]: Invalid user stud from ::ffff:211.139.218.154
Nov 25 07:11:39 server sshd[5979]: Invalid user trash from ::ffff:211.139.218.154
Nov 25 07:11:42 server sshd[5998]: Invalid user aaron from ::ffff:211.139.218.154
Nov 25 11:09:45 server sshd[7309]: Did not receive identification string from ::ffff:210.34.7.115
Nov 25 21:51:50 server usermod[8100]: change user `vnblog' shell from `/bin/bash' to `/bin/false'
Nov 27 02:52:45 server sshd[5930]: User ftp not allowed because not listed in AllowUsers
Nov 27 02:53:43 server sshd[7348]: User mysql not allowed because not listed in AllowUsers
 

Nov 27 09:35:01 server crond(pam_unix)[15874]: session opened for user root by (uid=0)
Nov 27 09:35:01 server crond(pam_unix)[15877]: session opened for user root by (uid=0)
Nov 27 09:35:01 server crond(pam_unix)[15881]: session opened for user root by (uid=0)
Nov 27 09:35:01 server crond(pam_unix)[15874]: session closed for user root
Nov 27 09:35:02 server crond(pam_unix)[15881]: session closed for user root
Nov 27 09:35:04 server crond(pam_unix)[15877]: session closed for user root
Nov 27 09:35:25 server shutdown: shutting down for system reboot
Nov 27 09:35:28 server proftpd: proftpd shutdown succeeded
Nov 27 09:35:28 server vm-pop3d: vm-pop3d shutdown succeeded
Nov 27 09:35:30 server directadmin: directadmin shutdown succeeded
Nov 27 09:35:30 server sshd: sshd -TERM succeeded
Nov 27 09:35:30 server da-popb4smtp: da-popb4smtp shutdown succeeded
Nov 27 09:35:30 server exim: Shutting down exim:
Nov 27 09:35:30 server exim:
Nov 27 09:35:30 server rc: Stopping exim: succeeded
Nov 27 09:35:30 server named[30024]: shutting down
Nov 27 09:35:30 server named[30024]: stopping command channel on 127.0.0.1#953
Nov 27 09:35:30 server named[30024]: no longer listening on 127.0.0.1#53
Nov 27 09:35:30 server named[30024]: no longer listening on 210.245.125.202#53
Nov 27 09:35:30 server named[30024]: exiting
Nov 27 09:35:30 server named: named shutdown succeeded
Nov 27 09:35:31 server snmpd: snmpd shutdown succeeded
Nov 27 09:35:32 server xinetd[24103]: Exiting...
Nov 27 09:35:32 server xinetd: xinetd shutdown succeeded
Nov 27 09:35:32 server crond: crond shutdown succeeded
Nov 27 09:35:33 server network: Shutting down interface venet0: succeeded
Nov 27 09:35:33 server network: Shutting down loopback interface: succeeded
Nov 27 09:35:33 server sysctl: net.ipv4.ip_forward = 0
Nov 27 09:35:33 server network: Disabling IPv4 packet forwarding: succeeded
Nov 27 09:35:33 server iptables: Flushing firewall rules:
Nov 27 09:35:33 server iptables: succeeded
Nov 27 09:35:33 server iptables:
Nov 27 09:35:33 server iptables: Setting chains to policy ACCEPT: mangle
Nov 27 09:35:33 server iptables: filter
Nov 27 09:35:33 server iptables: nat
Nov 27 09:35:33 server iptables: succeeded
Nov 27 09:35:33 server iptables:
Nov 27 09:35:33 server rc: Stopping iptables: succeeded
Nov 27 09:35:33 server rc: Stopping sysstat: succeeded
Nov 27 09:35:33 server rc: Starting killall: succeeded
Nov 27 09:35:33 server rc: Starting vzreboot: succeeded
Nov 27 09:35:33 server syslogd: exiting on signal 15
 

Những logs ở trên không có mấy thông tin hữu dụng . Có thể các thông tin cần thiết đã bị tay ấy xóa hết.

Theo kinh nghiệm tôi đoán rằng VPS này bị thâm nhập xuyên qua đường ftp và rootkit bị upload lên. Phỏng đoán có 2 phần bị lỗi trên VPS:

1) phiên bản proftpd bị lỗi bảo mật hoặc gán quyền cho ftp không chặt chẽ và cho phép upload file.

2) kernel bị lỗi hoặc một ứng dụng nào đó trên phiên bản linux trên cho phép gain root (sau khi bộ đồ nghề được upload thành công qua ftp).

Bồ cho biết:

- chế độ gán quyền của ftp hiện thời.
- phiên bản chính xác của proftpd hiện thời.
- phiên bản kernel chính xác hiện thời.

và nếu được, tên của rootkit mà bộ chkrootkit đã thông báo. 

Tại sao anh ko cho rằng server bị attack qua đường ftp mà ko phải là ssh nhỉ ? Vì em thấy log ftp ko có gì bất thường trong khi secure log show rõ ràng có rất nhiều cuộc brute force ssh, và lần check lại gần đây nhất (hồi chiều nay) thì log secure còn thông báo "reverse mapping checking getaddrinfo for ... POSSIBLE BREAKIN ATTEMPT!" cũng như những dòng log mới :

Nov 25 05:59:44 server sshd[5252]: Invalid user lab from ::ffff:210.245.85.115
Nov 25 05:59:54 server sshd[5733]: Invalid user iraf from ::ffff:210.245.85.115
Nov 25 05:59:57 server sshd[5834]: Invalid user swsoft from ::ffff:210.245.85.115
Nov 25 05:59:59 server sshd[5834]: Failed password for invalid user swsoft from ::ffff:210.245.85.115 port 40120 ssh2
Nov 25 05:59:59 server sshd[5939]: Invalid user production from ::ffff:210.245.85.115
Nov 25 07:11:33 server sshd[5748]: Invalid user stud from ::ffff:211.139.218.154
Nov 25 07:11:39 server sshd[5979]: Invalid user trash from ::ffff:211.139.218.154
Nov 25 07:11:42 server sshd[5998]: Invalid user aaron from ::ffff:211.139.218.154
...........

Tức là attacker vẫn đang tiếp tục brute force SSH, và rõ ràng đây là 1 cuộc tấn công automatic vì nó try với những user hoàn toàn lạ
 

Kernel của vps em là :

-bash-3.00# uname -a
Linux server.website.com 2.6.18-ovz028stab039.1-enterprise #1 SMP Tue Jul 24 12:28:02 MSD 2007 i686 i686 i386 GNU/Linux
 

Version của proftpd của em là :

proftpd-standalone-1.2.10-1
proftpd-1.2.10-1

bản proftp này ko phải em cài riêng, mà nó là từ bộ DirectAdmin (1 WHM gống cpanel)
 

Còn anh hỏi về "cơ chế gán quyền của ftp hiện thời" là sao nhỉ ? em chưa rõ lắm, làm sao để check vậy anh ?

Thân
 

#!/bin/bash
cd /usr/local/chkrootkit-0.47/
./chkrootkit | mail -s "Daily chkrootkit from My server" nixmicrosoft@yahoo.com 

Thanx anh conmale và GA rất nhiều, thực ra mấy kỹ thuật chroot, audit system, fix vulnerablity ... thì em đều đã học & thực tập qua nhưng do chủ quan quá nên mới ra nông nỗi vậy Đây coi như là 1 bài học quý giá và cũng giúp em có kinh nghiệm thực tế nhiều hơn

Thân 

Bởi vì ftp bị hở thì đó là cách upload rootkit + exploit tools lên nhanh nhất và dễ nhất. 

conmale viết :

Bởi vì ftp bị hở thì đó là cách upload rootkit + exploit tools lên nhanh nhất và dễ nhất. 

Anh conmale cho em hỏi : cho dù người ta có quyền upload rootkit + exploit tools lên thư mục nào đó , nhưng họ không có quyền thực thi thì làm sao mà exploit được ( bị local privilege escalation như anh nói ) .
 

Xin lỗi conmale, LKL ko có ý gì đâu, chỉ là vì ko nghĩ conmale sẽ viết chính xác dir mà tác giả bài viết đã cố tránh thôi.
Dù gì thì cũng ko sao, vì đó là cái chung... mà chỉ có người "chưa "ra đời" lâu đủ" như LKL mới để ý đến ^^
Topic này học hỏi được nhiều lắm, thanks đầu tiên là từ người post lên topic, đã nói rất chi tiết về tình hình hệ thống, cái thanks thứ 2 là việc conmale và anh em đã liệt kê hầu hết các sơ hở dẫn đến việc kẻ tấn công có khả năng cài rootkit lên VPS của author.
Tuy nhiên thì vẫn chưa thực sự chứng thực đựoc rằng: Nguyên nhân chính xác là do đâu. Nhưng cũng phải nói rằng:"Việc attrack 1 VPS ko có nghĩa là chỉ lạm dụng chỉ riêng 1 sơ hở nào đó, mà biết đâu nó có thể năm trong 1, 2, 3 thậm chí là tất cả các sơ hở được liệt kê ở trên"!!!
Vì vậy, cách tốt nhất là nắm bắt tất cả sơ hở trên đây kèm thêm hiểu biêt lúc trước của mình để rút kinh nghiệm thôi!!!

Thanks again!!!

Thân LKL!!! 

Đọc qua thì cho thấy cò thể server bạn bị tình trạng như conmale nói. Nhưng thử đặt tình trạng rootkit có thể được send qua email và execute luôn ko ^_^.