Tato stránka používá „cookies“. Soubory cookie nám pomáhají poskytovat, chránit a zlepšovat naše služby. Více informací zde. Přijmout cookies
Tato stránka používá „cookies“. Soubory cookie nám pomáhají poskytovat, chránit a zlepšovat naše služby. Více informací zde. Přijmout cookies

Hackerský útok na VPS Debian - fórum

Kategorie: Virtuální servery (VPS) / Obecné

přidatNový příspěvek

Chcete-li odebírat toto téma e-mailem, přihlašte se nebo se nejprve zaregistrujte.

Hackerský útok na VPS Debian

kamilh, 02.08.2016 18:13:30

Začalo to pravděpodobně phpbb3 diskuznim forem ve verzi 3.1.8, kdy mi utočník vlezl přes upload souborů do struktury webu a nahrál tam svoje *.php soubory. Ty oskenovaly obsahy dalších adresářů webů a našli jeden starý webík se starým ckeditorem a kcfinderem. Do něj nahrál další scripty. Začala se mi plnit fronta spamy a párkrát jsem se dostal na blacklisty. Open relay můj server ale nebyl. Frontu jsem mazal ručně a myslel, že dá pokoj. Nedal. Udělal jsem pár opatření, poladil fail2ban, projel php soubor po souboru (tisíce) abych smazal cizí scripty. Jak se na jeden zapomene, přes noc je to tam všude znova. Když už se mi podařilo zastavit mailovou frontu a postfix běžel normálně, přešel na mysql útok. Změnil jsem hesla všude možně, ten zmetek se tam stejně nějak dostane. V myslq logu vidím spousty dotazů, které db nestačí zpracovávat a po čase kolabuje server, když otevřenými soubory a tabulkami narazí na open_files_limit v mysql. Opět ladím fail2ban a už jsem docela bezradný, přestávají mi docházet nápady a logy už znám skoro nazpaměť. Mysql log píše o přihlášení přes ispconfig@localhost jako anonymous, a stějně tak i debian-sys-maint@localhost. Tomu moc nerozumím, ale sql dotazy jsou ve správném tvaru. Zatím jsou útoky na mysql cca každých 24s v dávce cca 10ti selectů.
Nesetkal se někdo z vás s podobným útokem a jak jste mu čelili??

Re: Hackerský útok na VPS Debian

S~, 11.08.2016 18:26:05

Obávám se, že v tomto případě si nikdy nemůžete být jist, že jste doopravdy všechny díry zadělal a vrátil vše, co útočníci změnili. Já bych na vašem místě vše zazálohoval a celý obsah VPS smazal a začal znovu. Ze zálohy pak můžete vytáhnout MySQL databázi, PHP kód, nastavení... jenom je potřeba vše ručně projít a zkontrolovat, že nedošlo k žádným změnám.

Jakmile se vám tam někdo dostal, tak je šance, že se vám povede vše vrátit dopořádku mizivá a velmi naivní.

Přihlášení zákazníka

Nemáte ještě zákaznický účet? Registrace

Copyright © WEDOS, 2018

Facebook RSS