Дырявый proftpd, люди опомнитесь!

Аватар пользователя Raven2000

В последнее время множество систем моих друзей было скомпрометировано дырявым proftpd, разработчики данного продукта не спешат с обновлениями (их тоже поломали) и этот продукт чаще становится слабым местом в системе.

Симптомы:
Обычно это системы FreeBSD ветки 7.X

В логах и еррорах Апатча появляется следущее:

62.149.226.66 - - [12/Dec/2010:01:42:35 +0000] "GET /doesnotexist.hax HTTP/1.1" 404 214 "-" "crimscan/1.2"
184.168.117.234 - - [12/Dec/2010:01:53:40 +0000] "GET /doesnotexist.hax HTTP/1.1" 404 214 "-" "crimscan/1.2"
[Sun Dec 12 01:42:35 2010] [error] [client 62.149.226.66] File does not exist: /home/pub/public_html/doesnotexist.hax
[Sun Dec 12 01:53:40 2010] [error] [client 184.168.117.234] File does not exist: /home/pub/public_html/doesnotexist.hax

Далее в директории /etc образуются следующие файлы

-rwxrwxrwx 1 root wheel 23267 Dec 12 01:54 hyfrsywhowagmhg
-rwxrwxrwx 1 root wheel 23267 Dec 12 01:54 oaayusejjghapdr
-rwxrwxrwx 1 root wheel 23267 Dec 12 01:43 odckuxcuudcsfng
-rwxrwxrwx 1 root wheel 23267 Dec 12 01:43 uuvsnjutntkdjul

Потеря контроля над сервером.

Далее дохнет proftp со логами:

Dec 12 01:42:38 spider proftpd[98750]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:42:42 spider proftpd[98751]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
Dec 12 01:42:45 spider proftpd[98752]: spider (host66-226-149-62.serverdedicati.aruba.it[::ffff:62.149.226.66]) - ProFTPD terminating (signal 11)
~~

Потом созданные в /etc файлы слушают 21 порт вместо proftpd:

# sockstat | grep 21
root oaayusejjg 99348 0 tcp4 192.168.0.100:21 184.168.117.234:48814
root hyfrsywhow 99322 0 tcp4 192.168.0.100:21 184.168.117.234:36683
root uuvsnjutnt 98816 0 tcp4 192.168.0.100:21 62.149.226.66:37237
root odckuxcuud 98790 0 tcp4 192.168.0.100:21 62.149.226.66:58649

По очереди соединяются на хост 184.171.166.162:40808

root hyfrsywhow 99322 2 tcp4 192.168.111.100:61389 184.171.166.162:40808
 
*Dec 12 12:00:29.746: %SEC-6-IPACCESSLOGP: list Vlan192_In denied tcp 192.168.111.100(49788) -> 184.171.166.162(40808), 1 packet

Вот еще одна тема взломов:
Взломан сервер freebsd 7.0 (jail)

И так первое, что вы должны делать при любом подозрении о взломах.
1. отключить сервис (при возможности отключить клетку от сети если ее поломали (при тяжелых случаях отключаем сервер если он рядом)
2. проверяем cron (/etc/crontab /var/cron/tabs) и atq на наличие "забавных" заданий
3. скопируйте все ваши данные на другой носитель
4. поищите в инете имена всех "странных" файлов поскольку это могут быть обломки оставленными каким нибудь руткитом с последующими выводами
5. попробуйте убить странные демоны, но осторожно
6. обновите ПО и систему(или переустановите в тяжелых случаях) со сменой паролей

Что периодично можно делать.
1. периодически заглядывайте в top следите за загрузкой системы
2. читайте логи и сообщения с ОС
3. смотрите что в /tmp и /var/tmp и не забывайте чистить + использовать nosuid

И как рекомендация от меня это заменить proftpd на более стабильный ftp сервер к примеру на Pure-FTPd

Theme by Danetsoft and Danang Probo Sayekti inspired by Maksimer