Latest posts for the topic "Hacked VPS !!!"

Hacked VPS !!!

rickb — GMT

Khác hàng mình sử dụng 1 VPS thuê từ Hosting Provider của cty mình, mới sáng nay khách hàng contact mình và thông báo rằng server ko còn access được nữa, mình thử ssh vào VPS thì đúng là ko được, thế là mình ssh vào Hardware Node (Physical Server) và access vào VPS, sau khi check sơ bộ thì mình phát hiện vps khách hàng mình đã bị hack & cài rootkit :

[root@node-01]# ls -al /vz/private/xxxx/bin | grep Nov drwxr-xr-x 2 root root 4096 Nov 23 03:15 . drwxr-xr-x 23 root root 4096 Nov 27 10:25 .. -rwxr-xr-x 1 root root 6908 Nov 27 10:49 arch -rwxr-xr-x 1 root root 17164 Nov 27 10:49 basename -rwxr-xr-x 1 root root 614584 Nov 27 10:25 bash -rwxr-xr-x 1 root root 20856 Nov 27 10:49 cat -rwxr-xr-x 1 root root 36604 Nov 27 10:49 chgrp -rwxr-xr-x 1 root root 36196 Nov 27 10:49 chmod -rwxr-xr-x 1 root root 43164 Nov 27 10:49 chown -rwxr-xr-x 1 root root 60016 Nov 27 10:49 cp -rwxr-xr-x 1 root root 55852 Nov 27 10:49 cpio -rwxr-xr-x 1 root root 31024 Nov 27 10:48 cut -rwxr-xr-x 1 root root 49024 Nov 27 10:49 date -rwxr-xr-x 1 root root 33168 Nov 27 10:49 dd -rwxr-xr-x 1 root root 47752 Nov 27 10:49 ed -rwxr-xr-x 1 root root 250744 Nov 27 10:49 gawk -rwxr-xr-x 1 root root 76104 Nov 27 10:49 grep -rwxr-xr-x 1 root root 159620 Nov 27 10:49 tar -rwxr-xr-x 1 root root 310016 Nov 27 10:49 tcsh -rwxr-xr-x 1 root root 472992 Nov 27 10:49 vi

xxxx là thư mục của vps (mình đã edit) bị hack Theo output trên thì hệ thống đã bị cài rootkit vào ngay hôm nay (27/11), mình đã down chkrootkit và rkhunter về check thì chính xác là đã bị cài rootkit Như vậy, ngaòi việc backup data & cài lại OS mới (VPS mới) thì còn giải pháp nào không nhỉ ? Ai cho mình 1 lời khuyên với Cám ơn Thân

Hacked VPS !!!

conmale — GMT

rickb wrote:

Khác hàng mình sử dụng 1 VPS thuê từ Hosting Provider của cty mình, mới sáng nay khách hàng contact mình và thông báo rằng server ko còn access được nữa, mình thử ssh vào VPS thì đúng là ko được, thế là mình ssh vào Hardware Node (Physical Server) và access vào VPS, sau khi check sơ bộ thì mình phát hiện vps khách hàng mình đã bị hack & cài rootkit :
[root@node-01]# ls -al /vz/private/7075/bin | grep Nov drwxr-xr-x 2 root root 4096 Nov 23 03:15 . drwxr-xr-x 23 root root 4096 Nov 27 10:25 .. -rwxr-xr-x 1 root root 6908 Nov 27 10:49 arch -rwxr-xr-x 1 root root 17164 Nov 27 10:49 basename -rwxr-xr-x 1 root root 614584 Nov 27 10:25 bash -rwxr-xr-x 1 root root 20856 Nov 27 10:49 cat -rwxr-xr-x 1 root root 36604 Nov 27 10:49 chgrp -rwxr-xr-x 1 root root 36196 Nov 27 10:49 chmod -rwxr-xr-x 1 root root 43164 Nov 27 10:49 chown -rwxr-xr-x 1 root root 60016 Nov 27 10:49 cp -rwxr-xr-x 1 root root 55852 Nov 27 10:49 cpio -rwxr-xr-x 1 root root 31024 Nov 27 10:48 cut -rwxr-xr-x 1 root root 49024 Nov 27 10:49 date -rwxr-xr-x 1 root root 33168 Nov 27 10:49 dd -rwxr-xr-x 1 root root 47752 Nov 27 10:49 ed -rwxr-xr-x 1 root root 250744 Nov 27 10:49 gawk -rwxr-xr-x 1 root root 76104 Nov 27 10:49 grep -rwxr-xr-x 1 root root 159620 Nov 27 10:49 tar -rwxr-xr-x 1 root root 310016 Nov 27 10:49 tcsh -rwxr-xr-x 1 root root 472992 Nov 27 10:49 vi
Theo output trên thì hệ thống đã bị cài rootkit vào ngay hôm nay (27/11), mình đã down chkrootkit và rkhunter về check thì chính xác là đã bị cài rootkit Như vậy, ngaòi việc backup data & cài lại OS mới (VPS mới) thì còn giải pháp nào không nhỉ ? Ai cho mình 1 lời khuyên với Cám ơn Thân

Việc cài lại OS và phục hồi lại data là việc hoàn toàn cần thiết sau khi bị rootkit (bởi vì để phân tích và diệt tận gốc rootkit là điều không bảo đảm và phí thời gian). Quan trọng hơn nữa là cần tìm ra nguồn gốc và lý do tại sao bị rootkit để ngăn ngừa tình trạng cũ lại xảy ra. Nếu không, cài OS và phục hồi data là chuyện sẽ xảy ra dài dài.

Hacked VPS !!!

rickb — GMT

conmale wrote:

Việc cài lại OS và phục hồi lại data là việc hoàn toàn cần thiết sau khi bị rootkit (bởi vì để phân tích và diệt tận gốc rootkit là điều không bảo đảm và phí thời gian). Quan trọng hơn nữa là cần tìm ra nguồn gốc và lý do tại sao bị rootkit để ngăn ngừa tình trạng cũ lại xảy ra. Nếu không, cài OS và phục hồi data là chuyện sẽ xảy ra dài dài.

Hiện tại em đã cô lập VPS (ko thể access từ NET được nữa). Cả Hardware và VPS đều sử dụng CentOS, riêng Hardware node sử dụng OpenVZ cho giải pháp Vitualization. Nhưng em nghĩ vấn đển chỉ nằm ở VPS mà ko nằm ở Hardware node, vì chỉ có VPS là bị hack, còn Hardware Node và tất cả VPS khác ko bị gì hết. Vậy theo anh bây giờ em nên làm những gì để có thể xác định được nguồn gốc và lý do tại sao bị cài rootkit ? Do em thường xuyên ssh vào server vào các thởi điểm ko cố định và em cũng ko sử dụng IP tĩnh (ADSL) vì thế thông tin từ lệnh last gần như ko có ích. Mong anh cho em 1 số hướng để giải quyết vấn để Thanx

Hacked VPS !!!

conmale — GMT

rickb wrote:

conmale wrote:

Việc cài lại OS và phục hồi lại data là việc hoàn toàn cần thiết sau khi bị rootkit (bởi vì để phân tích và diệt tận gốc rootkit là điều không bảo đảm và phí thời gian). Quan trọng hơn nữa là cần tìm ra nguồn gốc và lý do tại sao bị rootkit để ngăn ngừa tình trạng cũ lại xảy ra. Nếu không, cài OS và phục hồi data là chuyện sẽ xảy ra dài dài.
Hiện tại em đã cô lập VPS (ko thể access từ NET được nữa). Cả Hardware và VPS đều sử dụng CentOS, riêng Hardware node sử dụng OpenVZ cho giải pháp Vitualization. Nhưng em nghĩ vấn đển chỉ nằm ở VPS mà ko nằm ở Hardware node, vì chỉ có VPS là bị hack, còn Hardware Node và tất cả VPS khác ko bị gì hết. Vậy theo anh bây giờ em nên làm những gì để có thể xác định được nguồn gốc và lý do tại sao bị cài rootkit ? Do em thường xuyên ssh vào server vào các thởi điểm ko cố định và em cũng ko sử dụng IP tĩnh (ADSL) vì thế thông tin từ lệnh last gần như ko có ích. Mong anh cho em 1 số hướng để giải quyết vấn để Thanx

Khoan hẵng đụng chạm gì đến cái VPS đã, nếu không, không thể điều tra được. Đầu tiên nên xét xem có bao nhiêu dịch vụ đang chạy trên VPS đó và chúng là gì? có phiên bản bao nhiêu. Post các thông tin ấy lên đây.

Re: Hacked VPS !!!

lion_king_lovely_1985 — GMT

conmale wrote:

[root@node-01]# ls -al /vz/private/xxxx/bin | grep Nov

Chỗ này chắc chẳng mấy ai để ý :) Vậy mà sao pác conmale nhà ta lại xài mây con số đó cho folder xxxx của rickb thế nhỉ??? :D ================ 7075 ==============

rickb wrote:

[root@node-01]# ls -al /vz/private/7075/bin | grep Nov

Re: Hacked VPS !!!

dammeit — GMT

lion_king_lovely_1985 wrote:

conmale wrote:

[root@node-01]# ls -al /vz/private/xxxx/bin | grep Nov
Chỗ này chắc chẳng mấy ai để ý :) Vậy mà sao pác conmale nhà ta lại xài mây con số đó cho folder xxxx của rickb thế nhỉ??? :D ================ 7075 ==============
rickb wrote:

[root@node-01]# ls -al /vz/private/7075/bin | grep Nov

Đọc kỉ bài của richb

rickb wrote:

xxxx là thư mục của vps (mình đã edit) bị hack

và tên cái thư mục này ko có gì quan trọng trong vấn đề này cả

Re: Hacked VPS !!!

rickb — GMT

@dammeit : nó ko quá quan trọng nhưng tôi luôn cố gắng giữ thông tin của khách hàng tối đa @conmale : đây là thông tin hiện tại của vps khách hàng của em :

-bash-3.00# netstat -natp Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:199 0.0.0.0:* LISTEN 23851/snmpd tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 24326/mysqld tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 23929/exim tcp 0 0 0.0.0.0:110 0.0.0.0:* LISTEN 24204/vm-pop3d tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 23888/xinetd tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 24102/httpd tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 26587/named tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 24161/proftpd: (acc tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN 23888/xinetd tcp 0 0 127.0.0.1:953 0.0.0.0:* LISTEN 26587/named tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 23929/exim tcp 0 0 0.0.0.0:11643 0.0.0.0:* LISTEN 26430/httpd -DSSL tcp 0 0 0.0.0.0:443 0.0.0.0:* LISTEN 24102/httpd -bash-3.00# -bash-3.00# -bash-3.00# -bash-3.00# ps axf Unknown HZ value! (186) Assume 100. PID TTY STAT TIME COMMAND 1 ? S 0:00 init [3] 22315 ? S 0:00 minilogd 23820 ? S 0:00 /etc/rc3.d/S12syslog start 23821 ? S 0:00 \_ /bin/sh 23851 ? S 0:00 /usr/sbin/snmpd -Lsd -Lf /dev/null -p /var/run/snmpd -a 23865 ? S 0:00 /usr/sbin/sshd 23888 ? S 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid 23902 ? S 0:00 /usr/local/directadmin/da-popb4smtp 23929 ? S 0:00 /usr/sbin/exim -bd -q15m -oP /var/run/exim.pid 23941 ? S 0:00 /etc/rc3.d/S84syslog start 23942 ? S 0:00 \_ /bin/sh 24102 ? S 0:00 /usr/sbin/httpd -k start -DSSL 24187 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL 24189 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL 24191 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL 24192 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL 24193 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL 24194 ? S 0:00 \_ /usr/sbin/httpd -k start -DSSL 24161 ? S 0:00 proftpd: (accepting connections) 24204 ? S 0:00 vm-pop3d -d 10 -t 600 24205 ? S 0:00 \_ vm-pop3d -d 10 -t 600 24206 ? S 0:00 \_ vm-pop3d -d 10 -t 600 24207 ? S 0:00 \_ vm-pop3d -d 10 -t 600 24212 ? S 0:00 \_ vm-pop3d -d 10 -t 600 24213 ? S 0:00 \_ vm-pop3d -d 10 -t 600 24214 ? S 0:00 \_ vm-pop3d -d 10 -t 600 24215 ? S 0:00 \_ vm-pop3d -d 10 -t 600 24216 ? S 0:00 \_ vm-pop3d -d 10 -t 600 24217 ? S 0:00 \_ vm-pop3d -d 10 -t 600 24218 ? S 0:00 \_ vm-pop3d -d 10 -t 600 24245 ? S 0:00 crond 24267 ? S 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/server.website.com.pid 24326 ? S 0:00 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/server.website.com.pid --skip-ex 26024 ? S 0:00 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/server.website.com.pid --ski 26025 ? S 0:00 \_ /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/server.website.com.pid - 26430 ? S 0:00 /usr/local/apache/bin/httpd -DSSL 26587 ? S 0:00 named -u named 29813 ? R 0:00 vzctl: pts/0 29814 pts/0 S 0:00 \_ -bash 30050 pts/0 R 0:00 \_ ps axf -bash-3.00#

note : trong phần output của lệnh ps axf, em đã thay domain thật sự của khách àhng thành website.com Anh cần thêm thông tin gì thì cú request, em sẽ đưa lên. Cám ơn anh đã quan tâm giúp đỡ Thân

Re: Hacked VPS !!!

conmale — GMT

Xem ra có proftpd và vm-pop3d là đáng ngờ. Chạy snmpd và mysqld mở ra như thế là cực nguy. snmpd không dùng để tấn công trực tiếp nhưng có thể dùng nó để gặt hái thông tin nhạy cảm. mysqld không thể trực tiếp tấn công và thiết lập rootkit được nhưng nó có thể bị brute force và mất quyền quản lý sql. Thậm chí nếu config không kỹ nó có thể bị leo thang chủ quyền. Bồ thảy lên các log của: - proftpd trước và sau khi phát hiện bị rootkit. - vm-pop3d trước và sau khi phát hiện bị rootkit. - /var/log/secure + /var/log/messages trước và sau khi phát hiện bị rootkit. - last trước và sau khi phát hiện bị rootkit. - .history của root (có thể không còn gì lý thú như ít ra có thể phân tích được vài điều). - .history của account nào làm chủ VPS instance đó (có thể không còn gì lý thú như ít ra có thể phân tích được vài điều). to lion_king_lovely_1985: những ai làm "trong ngành" thì ít nhất bị dính rootkit 1 lần trong đời. Đây là chuyện bình thường. Nếu chưa bị dính bao giờ thì tự nhủ rằng mình may mắn hoặc chưa "ra đời" lâu đủ ;).

Re: Hacked VPS !!!

rickb — GMT

conmale wrote:

Xem ra có proftpd và vm-pop3d là đáng ngờ. Chạy snmpd và mysqld mở ra như thế là cực nguy. snmpd không dùng để tấn công trực tiếp nhưng có thể dùng nó để gặt hái thông tin nhạy cảm. mysqld không thể trực tiếp tấn công và thiết lập rootkit được nhưng nó có thể bị brute force và mất quyền quản lý sql. Thậm chí nếu config không kỹ nó có thể bị leo thang chủ quyền. Bồ thảy lên các log của: - proftpd trước và sau khi phát hiện bị rootkit. - vm-pop3d trước và sau khi phát hiện bị rootkit. - /var/log/secure + /var/log/messages trước và sau khi phát hiện bị rootkit. - last trước và sau khi phát hiện bị rootkit. - .history của root (có thể không còn gì lý thú như ít ra có thể phân tích được vài điều). - .history của account nào làm chủ VPS instance đó (có thể không còn gì lý thú như ít ra có thể phân tích được vài điều). to lion_king_lovely_1985: những ai làm "trong ngành" thì ít nhất bị dính rootkit 1 lần trong đời. Đây là chuyện bình thường. Nếu chưa bị dính bao giờ thì tự nhủ rằng mình may mắn hoặc chưa "ra đời" lâu đủ ;).

Hi anh conmale, Hiện tại em chỉ biết được ngày bị cài rootkit là 27/11 qua lệnh ls -al /vz/private/xxxx/bin/ trên chứ em vẫn chưa biết thời điểm cụ thể chính xác bị attack nên em ko thể phân log ra như anh reqeust (trước và sau khi bị cài rootkit), đây là output của tail phần log proftpd (vì nó quá dài nên em chỉ tail) của server bị attack :

118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 06. Foo Fighters - Stranger Things Have Happened.mp3" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 05. Foo Fighters - Come Alive.mp3" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 04. Foo Fighters - Long Road To Ruin.mp3" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 03. Foo Fighters - Erase,Replace.mp3" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 02. Foo Fighters - Let It Die.mp3" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 01. Foo Fighters - The Pretender.mp3" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 00. Foo Fighters - Echoes, Silence, Patience & Grace.sfv" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 00. Foo Fighters - Echoes, Silence, Patience & Grace.nfo" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "DELE 00. Foo Fighters - Echoes, Silence, Patience & Grace.m3u" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [26/Nov/2007:10:09:12 +0000] "RMD Foo Fighters - Echoes, Silence, Patience & Grace [V0]" 550 - 222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:17:34 +0000] "STOR untitled.JPG" 226 10406 222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:36 +0000] "RNFR untitled.JPG" 350 0 222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:36 +0000] "RNTO kei.jpg" 250 0 222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:42 +0000] "RNFR kei.jpg" 350 0 222.253.164.204 UNKNOWN jaychen@mrgaac.vietmedia.us [26/Nov/2007:17:20:42 +0000] "RNTO 141.jpg" 250 0 118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:10 +0000] "DELE 09. Foo Fighters - Ballad Of The Beaconsfield Miners.mp3" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:16 +0000] "DELE 09. Foo Fighters - Ballad Of The Beaconsfield Miners.mp3" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE cover.jpg" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE 03 Put It Behind You.mp3" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE 02 Under Pressure.mp3" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:30 +0000] "DELE 01 The Night Sky.mp3" 550 - 118.68.29.32 UNKNOWN duc@littlenu.info [27/Nov/2007:00:51:31 +0000] "RMD Keane - The Night Sky (for Warchild) [2007]" 550 - 125.212.197.233 UNKNOWN vietwow [27/Nov/2007:01:25:32 +0000] "RETR hinh.rar" 226 8807040 125.212.197.233 UNKNOWN vietwow [27/Nov/2007:01:28:14 +0000] "RETR hinh.rar" 226 8807040

Có vẻ như ko có gì bất thường Đây là tail phần log của vm-pop3 :

Nov 27 08:49:21 server vm-pop3d[25779]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0 Nov 27 08:49:21 server vm-pop3d[25779]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0 Nov 27 08:49:22 server vm-pop3d[1398]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0 Nov 27 08:49:22 server vm-pop3d[1398]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0 Nov 27 08:49:22 server vm-pop3d[1743]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0 Nov 27 08:49:22 server vm-pop3d[1743]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0 Nov 27 08:49:23 server vm-pop3d[5408]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0 Nov 27 08:49:23 server vm-pop3d[5408]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0 Nov 27 09:10:38 server vm-pop3d[7995]: User 'voduc@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0 Nov 27 09:10:39 server vm-pop3d[7995]: Session ended for user: 'voduc@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0 Nov 27 09:11:51 server vm-pop3d[15533]: User 'voduc@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0 Nov 27 09:11:52 server vm-pop3d[15533]: Session ended for user: 'voduc@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0 Nov 27 09:12:07 server vm-pop3d[18233]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0 Nov 27 09:12:07 server vm-pop3d[18233]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0 Nov 27 09:17:07 server vm-pop3d[22079]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0 Nov 27 09:17:07 server vm-pop3d[22079]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0 Nov 27 09:22:07 server vm-pop3d[28582]: User 'letram@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0 Nov 27 09:22:07 server vm-pop3d[28582]: Session ended for user: 'letram@goldenstarvn.com' from 222.253.100.13, nmsgs=0, ndel=0 Nov 27 09:30:15 server vm-pop3d[29847]: User 'maily@goldenstarvn.com' logged in from 222.253.100.13, nmsgs=0 Nov 27 09:35:28 server vm-pop3d[10232]: Quitting on signal: 15 Nov 27 09:35:28 server vm-pop3d[14079]: Quitting on signal: 15 Nov 27 09:35:28 server vm-pop3d[13882]: Quitting on signal: 15 Nov 27 09:35:28 server vm-pop3d[9827]: Quitting on signal: 15 Nov 27 09:35:28 server vm-pop3d[3705]: Quitting on signal: 15 Nov 27 09:35:28 server vm-pop3d[32417]: Quitting on signal: 15 Nov 27 09:35:28 server vm-pop3d[1374]: Quitting on signal: 15 Nov 27 09:35:28 server vm-pop3d[30077]: Quitting on signal: 15

Cũng ko có gì bất thường lắm Đây là phần log của secure và cũng là phần "đáng ngờ" nhất, em nghĩ là em bị brute force pass ssh thì phải ?

Nov 25 04:55:07 server sshd[15483]: Did not receive identification string from ::ffff:210.245.85.115 Nov 25 05:57:55 server sshd[25990]: Failed password for admin from ::ffff:210.245.85.115 port 33494 ssh2 Nov 25 05:58:09 server sshd[27799]: Invalid user william from ::ffff:210.245.85.115 Nov 25 05:58:11 server sshd[27799]: Failed password for invalid user william from ::ffff:210.245.85.115 port 34354 ssh2 Nov 25 05:58:11 server sshd[27921]: Invalid user stephanie from ::ffff:210.245.85.115 Nov 25 05:58:14 server sshd[27921]: Failed password for invalid user stephanie from ::ffff:210.245.85.115 port 34484 ssh2 Nov 25 05:58:22 server sshd[28292]: Failed password for root from ::ffff:210.245.85.115 port 34917 ssh2 Nov 25 05:58:27 server sshd[28514]: Failed password for root from ::ffff:210.245.85.115 port 35209 ssh2 Nov 25 05:58:32 server sshd[29813]: Failed password for root from ::ffff:210.245.85.115 port 35501 ssh2 Nov 25 05:58:32 server sshd[29951]: Invalid user guest from ::ffff:210.245.85.115 Nov 25 05:58:35 server sshd[30093]: Invalid user test from ::ffff:210.245.85.115 Nov 25 05:58:37 server sshd[30093]: Failed password for invalid user test from ::ffff:210.245.85.115 port 35788 ssh2 Nov 25 05:58:38 server sshd[30238]: Invalid user oracle from ::ffff:210.245.85.115 Nov 25 05:58:40 server sshd[30238]: Failed password for invalid user oracle from ::ffff:210.245.85.115 port 35928 ssh2 Nov 25 05:59:01 server sshd[32301]: Failed password for root from ::ffff:210.245.85.115 port 37059 ssh2 Nov 25 05:59:20 server sshd[1838]: Failed password for root from ::ffff:210.245.85.115 port 38009 ssh2 Nov 25 05:59:25 server sshd[3151]: Failed password for root from ::ffff:210.245.85.115 port 38295 ssh2 Nov 25 05:59:27 server sshd[3277]: Failed password for root from ::ffff:210.245.85.115 port 38430 ssh2 Nov 25 05:59:33 server sshd[3518]: Failed password for root from ::ffff:210.245.85.115 port 38707 ssh2 Nov 25 05:59:38 server sshd[3815]: Failed password for invalid user apache from ::ffff:210.245.85.115 port 38989 ssh2 Nov 25 05:59:41 server sshd[3948]: Failed password for root from ::ffff:210.245.85.115 port 39134 ssh2 Nov 25 05:59:43 server sshd[4087]: Failed password for root from ::ffff:210.245.85.115 port 39272 ssh2 Nov 25 05:59:44 server sshd[5252]: Invalid user lab from ::ffff:210.245.85.115 Nov 25 05:59:54 server sshd[5733]: Invalid user iraf from ::ffff:210.245.85.115 Nov 25 05:59:57 server sshd[5834]: Invalid user swsoft from ::ffff:210.245.85.115 Nov 25 05:59:59 server sshd[5834]: Failed password for invalid user swsoft from ::ffff:210.245.85.115 port 40120 ssh2 Nov 25 05:59:59 server sshd[5939]: Invalid user production from ::ffff:210.245.85.115 Nov 25 07:11:33 server sshd[5748]: Invalid user stud from ::ffff:211.139.218.154 Nov 25 07:11:39 server sshd[5979]: Invalid user trash from ::ffff:211.139.218.154 Nov 25 07:11:42 server sshd[5998]: Invalid user aaron from ::ffff:211.139.218.154 Nov 25 11:09:45 server sshd[7309]: Did not receive identification string from ::ffff:210.34.7.115 Nov 25 21:51:50 server usermod[8100]: change user `vnblog' shell from `/bin/bash' to `/bin/false' Nov 27 02:52:45 server sshd[5930]: User ftp not allowed because not listed in AllowUsers Nov 27 02:53:43 server sshd[7348]: User mysql not allowed because not listed in AllowUsers

Còn đây là phần log của message :

Nov 27 09:35:01 server crond(pam_unix)[15874]: session opened for user root by (uid=0) Nov 27 09:35:01 server crond(pam_unix)[15877]: session opened for user root by (uid=0) Nov 27 09:35:01 server crond(pam_unix)[15881]: session opened for user root by (uid=0) Nov 27 09:35:01 server crond(pam_unix)[15874]: session closed for user root Nov 27 09:35:02 server crond(pam_unix)[15881]: session closed for user root Nov 27 09:35:04 server crond(pam_unix)[15877]: session closed for user root Nov 27 09:35:25 server shutdown: shutting down for system reboot Nov 27 09:35:28 server proftpd: proftpd shutdown succeeded Nov 27 09:35:28 server vm-pop3d: vm-pop3d shutdown succeeded Nov 27 09:35:30 server directadmin: directadmin shutdown succeeded Nov 27 09:35:30 server sshd: sshd -TERM succeeded Nov 27 09:35:30 server da-popb4smtp: da-popb4smtp shutdown succeeded Nov 27 09:35:30 server exim: Shutting down exim: Nov 27 09:35:30 server exim: Nov 27 09:35:30 server rc: Stopping exim: succeeded Nov 27 09:35:30 server named[30024]: shutting down Nov 27 09:35:30 server named[30024]: stopping command channel on 127.0.0.1#953 Nov 27 09:35:30 server named[30024]: no longer listening on 127.0.0.1#53 Nov 27 09:35:30 server named[30024]: no longer listening on 210.245.125.202#53 Nov 27 09:35:30 server named[30024]: exiting Nov 27 09:35:30 server named: named shutdown succeeded Nov 27 09:35:31 server snmpd: snmpd shutdown succeeded Nov 27 09:35:32 server xinetd[24103]: Exiting... Nov 27 09:35:32 server xinetd: xinetd shutdown succeeded Nov 27 09:35:32 server crond: crond shutdown succeeded Nov 27 09:35:33 server network: Shutting down interface venet0: succeeded Nov 27 09:35:33 server network: Shutting down loopback interface: succeeded Nov 27 09:35:33 server sysctl: net.ipv4.ip_forward = 0 Nov 27 09:35:33 server network: Disabling IPv4 packet forwarding: succeeded Nov 27 09:35:33 server iptables: Flushing firewall rules: Nov 27 09:35:33 server iptables: succeeded Nov 27 09:35:33 server iptables: Nov 27 09:35:33 server iptables: Setting chains to policy ACCEPT: mangle Nov 27 09:35:33 server iptables: filter Nov 27 09:35:33 server iptables: nat Nov 27 09:35:33 server iptables: succeeded Nov 27 09:35:33 server iptables: Nov 27 09:35:33 server rc: Stopping iptables: succeeded Nov 27 09:35:33 server rc: Stopping sysstat: succeeded Nov 27 09:35:33 server rc: Starting killall: succeeded Nov 27 09:35:33 server rc: Starting vzreboot: succeeded Nov 27 09:35:33 server syslogd: exiting on signal 15

Anh xem giúp em với Thanx anh Thân

Re: Hacked VPS !!!

conmale — GMT

Những logs ở trên không có mấy thông tin hữu dụng :(. Có thể các thông tin cần thiết đã bị tay ấy xóa hết. Theo kinh nghiệm tôi đoán rằng VPS này bị thâm nhập xuyên qua đường ftp và rootkit bị upload lên. Phỏng đoán có 2 phần bị lỗi trên VPS: 1) phiên bản proftpd bị lỗi bảo mật hoặc gán quyền cho ftp không chặt chẽ và cho phép upload file. 2) kernel bị lỗi hoặc một ứng dụng nào đó trên phiên bản linux trên cho phép gain root (sau khi bộ đồ nghề được upload thành công qua ftp). Bồ cho biết: - chế độ gán quyền của ftp hiện thời. - phiên bản chính xác của proftpd hiện thời. - phiên bản kernel chính xác hiện thời. và nếu được, tên của rootkit mà bộ chkrootkit đã thông báo.

Re: Hacked VPS !!!

rickb — GMT

conmale wrote:

Những logs ở trên không có mấy thông tin hữu dụng :(. Có thể các thông tin cần thiết đã bị tay ấy xóa hết. Theo kinh nghiệm tôi đoán rằng VPS này bị thâm nhập xuyên qua đường ftp và rootkit bị upload lên. Phỏng đoán có 2 phần bị lỗi trên VPS: 1) phiên bản proftpd bị lỗi bảo mật hoặc gán quyền cho ftp không chặt chẽ và cho phép upload file. 2) kernel bị lỗi hoặc một ứng dụng nào đó trên phiên bản linux trên cho phép gain root (sau khi bộ đồ nghề được upload thành công qua ftp). Bồ cho biết: - chế độ gán quyền của ftp hiện thời. - phiên bản chính xác của proftpd hiện thời. - phiên bản kernel chính xác hiện thời. và nếu được, tên của rootkit mà bộ chkrootkit đã thông báo.

Tại sao anh ko cho rằng server bị attack qua đường ftp mà ko phải là ssh nhỉ ? Vì em thấy log ftp ko có gì bất thường trong khi secure log show rõ ràng có rất nhiều cuộc brute force ssh, và lần check lại gần đây nhất (hồi chiều nay) thì log secure còn thông báo "reverse mapping checking getaddrinfo for ... POSSIBLE BREAKIN ATTEMPT!" cũng như những dòng log mới : Nov 25 05:59:44 server sshd[5252]: Invalid user lab from ::ffff:210.245.85.115 Nov 25 05:59:54 server sshd[5733]: Invalid user iraf from ::ffff:210.245.85.115 Nov 25 05:59:57 server sshd[5834]: Invalid user swsoft from ::ffff:210.245.85.115 Nov 25 05:59:59 server sshd[5834]: Failed password for invalid user swsoft from ::ffff:210.245.85.115 port 40120 ssh2 Nov 25 05:59:59 server sshd[5939]: Invalid user production from ::ffff:210.245.85.115 Nov 25 07:11:33 server sshd[5748]: Invalid user stud from ::ffff:211.139.218.154 Nov 25 07:11:39 server sshd[5979]: Invalid user trash from ::ffff:211.139.218.154 Nov 25 07:11:42 server sshd[5998]: Invalid user aaron from ::ffff:211.139.218.154 ........... Tức là attacker vẫn đang tiếp tục brute force SSH, và rõ ràng đây là 1 cuộc tấn công automatic vì nó try với những user hoàn toàn lạ Kernel của vps em là : -bash-3.00# uname -a Linux server.website.com 2.6.18-ovz028stab039.1-enterprise #1 SMP Tue Jul 24 12:28:02 MSD 2007 i686 i686 i386 GNU/Linux Version của proftpd của em là : proftpd-standalone-1.2.10-1 proftpd-1.2.10-1 bản proftp này ko phải em cài riêng, mà nó là từ bộ DirectAdmin (1 WHM gống cpanel) Còn anh hỏi về "cơ chế gán quyền của ftp hiện thời" là sao nhỉ ? em chưa rõ lắm, làm sao để check vậy anh ? Thân

Re: Hacked VPS !!!

conmale — GMT

rickb wrote:

Tại sao anh ko cho rằng server bị attack qua đường ftp mà ko phải là ssh nhỉ ? Vì em thấy log ftp ko có gì bất thường trong khi secure log show rõ ràng có rất nhiều cuộc brute force ssh, và lần check lại gần đây nhất (hồi chiều nay) thì log secure còn thông báo "reverse mapping checking getaddrinfo for ... POSSIBLE BREAKIN ATTEMPT!" cũng như những dòng log mới : Nov 25 05:59:44 server sshd[5252]: Invalid user lab from ::ffff:210.245.85.115 Nov 25 05:59:54 server sshd[5733]: Invalid user iraf from ::ffff:210.245.85.115 Nov 25 05:59:57 server sshd[5834]: Invalid user swsoft from ::ffff:210.245.85.115 Nov 25 05:59:59 server sshd[5834]: Failed password for invalid user swsoft from ::ffff:210.245.85.115 port 40120 ssh2 Nov 25 05:59:59 server sshd[5939]: Invalid user production from ::ffff:210.245.85.115 Nov 25 07:11:33 server sshd[5748]: Invalid user stud from ::ffff:211.139.218.154 Nov 25 07:11:39 server sshd[5979]: Invalid user trash from ::ffff:211.139.218.154 Nov 25 07:11:42 server sshd[5998]: Invalid user aaron from ::ffff:211.139.218.154 ........... Tức là attacker vẫn đang tiếp tục brute force SSH, và rõ ràng đây là 1 cuộc tấn công automatic vì nó try với những user hoàn toàn lạ

Bởi vì ftp bị hở thì đó là cách upload rootkit + exploit tools lên nhanh nhất và dễ nhất. Các thông tin ở trên chưa cho thấy dấu hiệu SSH đã bị brute thành công. sshd_config nên chỉnh các giá trị: PermitRootLogin no StrictModes yes MaxAuthTries 3 Nếu cần, đổi luôn ssh port từ 22 thành 1 port khác trong dãy highport ( > 1024).

rickb wrote:

Kernel của vps em là : -bash-3.00# uname -a Linux server.website.com 2.6.18-ovz028stab039.1-enterprise #1 SMP Tue Jul 24 12:28:02 MSD 2007 i686 i686 i386 GNU/Linux

Version này bị local privilege escalation. RedHat đã công bố bản cập nhật ở đây: https://rhn.redhat.com/errata/RHSA-2007-0939.html Vì nó bị local privilege escalation nên bất cứ ai có thể login command shell (ftp user chẳng hạn) đều có thể upload tools để gia tăng chủ quyền thành root.

rickb wrote:

Version của proftpd của em là : proftpd-standalone-1.2.10-1 proftpd-1.2.10-1 bản proftp này ko phải em cài riêng, mà nó là từ bộ DirectAdmin (1 WHM gống cpanel)

Phiên bản này ok.

rickb wrote:

Còn anh hỏi về "cơ chế gán quyền của ftp hiện thời" là sao nhỉ ? em chưa rõ lắm, làm sao để check vậy anh ? Thân

Check xem user có quyền upload files là user nào, thuộc nhóm nào? guest có được quyền upload hay không?

Re: Hacked VPS !!!

subnetwork — GMT

Hi rickb, anh conmale Mình có ý kiến như sau - Bạn nên restore backup hệ thống của bạn . - Cấu hình SSH theo như đề nghị của anh conmale ở trên . Ngoài ra chroot SSH là điều nên làm . - Cài đặt thêm chkrootkit cho VPS và viết một cron cho nó , nhét nó vào /etc/cron.daily/ . Về phần cron bạn quy định ngày giờ cho nó, một cron đơn giản như sau

#!/bin/bash cd /usr/local/chkrootkit-0.47/ ./chkrootkit | mail -s "Daily chkrootkit from My server" nixmicrosoft@yahoo.com

- Do VPS của bạn có nhiều người dùng trên nó (khách hàng) cho nên bắt buộc bạn thiết lập FTP để cho khách hàng của bạn sử dụng . Đây là một http://vsftpd.beasts.org/ mà mình đề cử vsftpd thay vì proftpd. Cài đặt và cấu hình cho nó cẩn thận, các rootkit đa phần bắt nguồn từ lổ hổng FTP cho nên nếu VPS của bạn ít khách hàng thì không nên sử dụng FTP là an toàn nhất, thay thế FTP là SFTP Xem lại cấu hình PAM cho vsftd (nếu dùng) /etc/pam.d/vsftpd tập tin này dùng để yêu cầu người dùng cung cấp thông tin để đăng nhập vào ftp server . Đối với FTP server thì việc thiết lập tài khoản guest/anonymous rất quan trọng và không nên enable nó . Tham khảo thêm anonymous_enable trong vsftpd (nếu bạn dùng vsftpd) - Về phần dịch vụ trên VPS kiểm tra lại tòan bộ tất cả các dịch vụ, ghi chép, lưu trử log cẩn thận , các dịch vụ nào không cần thiết thì nên delete nó . - Đối với mysql củng tương tự, xóa các database mặc định, gán quyền phù hợp và nên nhớ không nên sử dụng tài khoản root để nhằm chạy các ứng dụng này , bạn cần thiết lập 1 tài khoản dùng để chạy các dịch vụ này mà thôi . Ngoài ra nếu rảnh, tôi đề nghị nên chroot apache, mysql http://www.securityfocus.com/infocus/1786 - Kiểm tra lại toàn bộ khách hàng có trên VPS và gán quyền phù hợp cho từng user có trên đó . Vài ý kiến

Re: Hacked VPS !!!

rickb — GMT

Thanx anh conmale và GA rất nhiều, thực ra mấy kỹ thuật chroot, audit system, fix vulnerablity ... thì em đều đã học & thực tập qua nhưng do chủ quan quá nên mới ra nông nỗi vậy :( Đây coi như là 1 bài học quý giá và cũng giúp em có kinh nghiệm thực tế nhiều hơn Thân

Re: Hacked VPS !!!

conmale — GMT

rickb wrote:

Thanx anh conmale và GA rất nhiều, thực ra mấy kỹ thuật chroot, audit system, fix vulnerablity ... thì em đều đã học & thực tập qua nhưng do chủ quan quá nên mới ra nông nỗi vậy :( Đây coi như là 1 bài học quý giá và cũng giúp em có kinh nghiệm thực tế nhiều hơn Thân

Nơi nào không cần ftp hoặc có thể dùng sftp thì đừng dùng ftp.

Re: Hacked VPS !!!

siro — GMT

conmale viết :

Bởi vì ftp bị hở thì đó là cách upload rootkit + exploit tools lên nhanh nhất và dễ nhất.

Anh conmale cho em hỏi : cho dù người ta có quyền upload rootkit + exploit tools lên thư mục nào đó , nhưng họ không có quyền thực thi thì làm sao mà exploit được ( bị local privilege escalation như anh nói ) .

Re: Hacked VPS !!!

conmale — GMT

siro wrote:

conmale viết :
Bởi vì ftp bị hở thì đó là cách upload rootkit + exploit tools lên nhanh nhất và dễ nhất.
Anh conmale cho em hỏi : cho dù người ta có quyền upload rootkit + exploit tools lên thư mục nào đó , nhưng họ không có quyền thực thi thì làm sao mà exploit được ( bị local privilege escalation như anh nói ) .

Nếu account dùng để upload files lên ftp không thể thực thi và account này không có quyền access console (interactive) thì tất nhiên không thể dùng nó để exploit. Tuy nhiên, cơ hội thực thi xuyên qua một account khác bằng phương tiện khác vẫn có thể xảy ra. Thông thường khách hàng có ftp, web, ssh.... thường dùng chung một account. Nếu account này bị nhân nhượng thì nó có thể dùng để thực thi công việc nào đó. Nếu ftp cho phép upload ở chế độ anonymous và không cho thực thi, kẻ tấn công vẫn có thể dùng cách khác, ví dụ như xuyên qua http / php / cgi... để thực thi. Một hệ thống càng cung cấp nhiều phương tiện để người dùng tương tác thì nó càng tạo nhiều cơ hội để thâm nhập. Thân mến.

Re: Hacked VPS !!!

siro — GMT

Cảm ơn câu trả lời của anh conmale , em học hỏi được rất nhiều điều từ chủ đề này .

Re: Hacked VPS !!!

lion_king_lovely_1985 — GMT

Xin lỗi conmale, LKL ko có ý gì đâu, chỉ là vì ko nghĩ conmale sẽ viết chính xác dir mà tác giả bài viết đã cố tránh thôi. Dù gì thì cũng ko sao, vì đó là cái chung... mà chỉ có người "chưa "ra đời" lâu đủ" như LKL mới để ý đến ^^ Topic này học hỏi được nhiều lắm, thanks đầu tiên là từ người post lên topic, đã nói rất chi tiết về tình hình hệ thống, cái thanks thứ 2 là việc conmale và anh em đã liệt kê hầu hết các sơ hở dẫn đến việc kẻ tấn công có khả năng cài rootkit lên VPS của author. Tuy nhiên thì vẫn chưa thực sự chứng thực đựoc rằng: Nguyên nhân chính xác là do đâu. Nhưng cũng phải nói rằng:"Việc attrack 1 VPS ko có nghĩa là chỉ lạm dụng chỉ riêng 1 sơ hở nào đó, mà biết đâu nó có thể năm trong 1, 2, 3 thậm chí là tất cả các sơ hở được liệt kê ở trên"!!! Vì vậy, cách tốt nhất là nắm bắt tất cả sơ hở trên đây kèm thêm hiểu biêt lúc trước của mình để rút kinh nghiệm thôi!!! Thanks again!!! Thân LKL!!!

Re: Hacked VPS !!!

conmale — GMT

lion_king_lovely_1985 wrote:

Xin lỗi conmale, LKL ko có ý gì đâu, chỉ là vì ko nghĩ conmale sẽ viết chính xác dir mà tác giả bài viết đã cố tránh thôi. Dù gì thì cũng ko sao, vì đó là cái chung... mà chỉ có người "chưa "ra đời" lâu đủ" như LKL mới để ý đến ^^ Topic này học hỏi được nhiều lắm, thanks đầu tiên là từ người post lên topic, đã nói rất chi tiết về tình hình hệ thống, cái thanks thứ 2 là việc conmale và anh em đã liệt kê hầu hết các sơ hở dẫn đến việc kẻ tấn công có khả năng cài rootkit lên VPS của author. Tuy nhiên thì vẫn chưa thực sự chứng thực đựoc rằng: Nguyên nhân chính xác là do đâu. Nhưng cũng phải nói rằng:"Việc attrack 1 VPS ko có nghĩa là chỉ lạm dụng chỉ riêng 1 sơ hở nào đó, mà biết đâu nó có thể năm trong 1, 2, 3 thậm chí là tất cả các sơ hở được liệt kê ở trên"!!! Vì vậy, cách tốt nhất là nắm bắt tất cả sơ hở trên đây kèm thêm hiểu biêt lúc trước của mình để rút kinh nghiệm thôi!!! Thanks again!!! Thân LKL!!!

Computer forensic là một mảng rất khó và lý thú. Nếu system không có những chuẩn bị cần thiết từ trước và kẻ tấn công có ít nhiều kinh nghiệm xóa dấu thì việc truy tìm nguyên nhân là điều gần như không thể được. Hơn nữa, những thông tin trao đổi ở đây chỉ mang tính minh họa cho nên dùng nó để điều tra (qua diễn đàn) thì đó là điều... không tưởng :P Các trao đổi ở đây thật ra chỉ nằm ở mức độ khái niệm. Nếu dùng các trao đổi ở trên để rút kinh nghiệm và để nghiên cứu sâu hơn thì được nhưng nếu dự phỏng sẽ tìm ra được nguyên nhân thì có lẽ 99% là không. Thân mến.

Re: Hacked VPS !!!

zahara — GMT

Đọc qua thì cho thấy cò thể server bạn bị tình trạng như conmale nói. Nhưng thử đặt tình trạng rootkit có thể được send qua email và execute luôn ko ^_^.

Re: Hacked VPS !!!

conmale — GMT

zahara wrote:

Đọc qua thì cho thấy cò thể server bạn bị tình trạng như conmale nói. Nhưng thử đặt tình trạng rootkit có thể được send qua email và execute luôn ko ^_^.

' Không. Trên *nix server không thể có tình trạng rootkit nhận qua e-mail rồi "thực thi". Tình trạng này chỉ có thể xảy ra với IE chuối chiên trên Windows.