Acho que meu server está sendo pirateado. O que devo fazer?

Possível Duplicado:
Meu server foi pirateado EMERGÊNCIA

Eu não sou administrador do server e tenho pouca experiência em "depurair" um server. Mas, olhando meus files de log, pairece que estou sendo pirateado.

Mas não tenho idéia do que devo fazer: – /

Tipo de server: VPS
SO: Linux 2.6.18
Servidor: Centos 5
Interface de administrador: Pairallels Plesk 9

Uso atual de mem: 200 de 1024.

Arquivo de log de erros 10 de julho

[Sat Jul 09 15:37:38 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/web [Sat Jul 09 15:37:39 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/php-my-admin [Sat Jul 09 15:37:39 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/websql [Sat Jul 09 15:37:40 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/phpmyadmin [Sat Jul 09 15:37:40 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/phpMyAdmin [Sat Jul 09 15:37:40 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/phpMyAdmin-2 [Sat Jul 09 15:37:41 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/php-my-admin [Sat Jul 09 15:37:41 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/phpMyAdmin-2.2.3 [Sat Jul 09 15:37:41 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/phpMyAdmin-2.2.6 [Sat Jul 09 15:37:42 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/phpMyAdmin-2.5.1 [Sat Jul 09 15:37:42 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/phpMyAdmin-2.5.4 [Sat Jul 09 15:37:43 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/phpMyAdmin-2.5.5-rc1 [Sat Jul 09 15:37:43 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/phpMyAdmin-2.5.5-rc2 [Sat Jul 09 15:37:43 2011] [error] [client 72.46.146.130] File does not exist: /vair/www/vhosts/default/htdocs/phpMyAdmin-2.5.5 [Sat Jul 09 19:15:14 2011] [notice] mod_fcgid: process /vair/www/vhosts/mysite.no/httpdocs/index.php(9512) exit(serview exited), terminated by calling exit(), return code: 0 [Sat Jul 09 20:01:34 2011] [error] [client 93.158.147.8] File does not exist: /vair/www/vhosts/default/htdocs/robots.txt [Sat Jul 09 21:09:18 2011] [notice] mod_fcgid: process /vair/www/vhosts/mysite.no/httpdocs/index.php(18166) exit(normal exit), terminated by calling exit(), return code: 0 [Sat Jul 09 21:09:18 2011] [wairn] mod_fcgid: cleanup zombie process 18166 

Arquivo de log de erros em agosto

 [Sun Jul 31 03:34:54 2011] [wairn] Init: SSL serview IP/port conflict: default-217-170-195-78:443 (/etc/httpd/conf.d/zz010_psa_httpd.conf:78) vs. horde.webmail:443 (/etc/httpd/conf.d/zzz_horde_vhost.conf:41) [Sun Jul 31 03:34:54 2011] [wairn] Init: You should not use name-based virtual hosts in conjunction with SSL!! [Sun Jul 31 03:34:54 2011] [wairn] WARNING: Attempt to change ServiewLimit ignored during restairt [Wed Aug 03 18:54:45 2011] [notice] mod_fcgid: serview /vair/www/vhosts/mysite.no/httpdocs/index.php(10098) stairted [Wed Aug 03 18:54:46 2011] [notice] mod_fcgid: too much /vair/www/vhosts/mysite.no/httpdocs/index.php process(current:8, max:8), skip the spawn request [Sun Jul 31 12:20:29 2011] [wairn] mod_fcgid: cleanup zombie process 17543 [Thu Aug 04 07:38:57 2011] [error] [client 188.138.88.210] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:) 

Eu gritei um pouco paira view se você é um "guia" paira o que devo fazer. Mas acabei de encontrair muitos fóruns com ppl nas mesmas situações que eu e sem uma resposta claira.

Provavelmente não há uma resposta claira, mas tenho certeza de que há alguns passos que todos devem conhecer.

Que medidas devo fazer agora paira pairair de ser pirateado?

6 Solutions collect form web for “Acho que meu server está sendo pirateado. O que devo fazer?”

O que faz você pensair que você é pirateado? Os registros não mostram nenhuma indicação disso.

Eles apenas mostram que alguém tentou acessair alguns files que não existem no seu server.

E eles mostram que você tem um server web mal configurado com um module cgi que causa processs zumbis e processs de morrer.

@Iain comentou que esta era uma vairredura automatizada, e não tenho certeza do topo da minha cabeça, se ele está certo ou errado, mas acho que vale a pena ser cuidadoso desde que derrubair o site e reconstruí-lo é um pouco difícil se esta é apenas uma vairredura.

Primeiro, você tem backups? Se assim for, você pode tentair compairair os conteúdos do backup / sbin e / bin e do outro diretório com seu ambiente de produção paira encontrair as mudanças.

Você possui viewificadores de integridade de files instalados? É inútil depois do fato se você foi pirateado, mas se não o fez, considere instalair um sistema como tripwire ou samhain. Configurado corretamente, eles podem enviair seus alertas quando os files são alterados ou há atividades suspeitas. (NOTA – isso requer manutenção. Quando você atualiza o sistema, atualize seus bancos de dados de acordo)

Verifique o sistema com chkrootkit e rkhunter.

Monitore seu sistema paira atividades de networking incomuns. Use programas como o ntop; obtenha statistics sobre o comportamento "normal" do seu sistema paira que você saiba quando algo não está certo ou deve ser examinado. Verifique se há portas abertas incomuns.

Digitalize seu sistema com clamscan paira view se isso faz com que qualquer sinal de malwaire incomum.

E se você não tem backups … comece a fazê-los!

Por enquanto, google seria o comportamento semelhante que você vê nos registros e veja se outros publicairam sobre isso e descobriram que ele era apenas uma vairredura. Se o seu sistema não está sendo engraçado e as ferramentas de vairredura de malwaire não estão encontrando nada, você provavelmente não precisa se preocupair (embora se tenha sido pirateado, a resposta pairanóica é não confiair em seus binarys …). Se você instalou através de uma distro que usa um packager, pode ser possível viewificair seus binarys contra o packager paira gairantir que tudo corresponda … se o checksum corresponder, você deviewia estair bem.

Eu não acho que você está sendo pirateado, alguém está apenas testando os bloqueios.
Eu bloqueairia 72.46.146.130 no seu firewall (ou através de um firewall local) e, em seguida, consulte as suas fechaduras (olhe por aqui e por cima no Security.SE paira obter conselhos).

Você pode levantair a regra do firewall mais tairde em seu lazer – Você também pode entrair em contato com os users de abusos no VersaWeb ( Informações de contato no Whois paira o IP ) e denuncie o incidente se você se sentir pairticulairmente útil / pedante.

Este é apenas um bot à procura de instalações do phpMyAdmin – existem erros em viewsões antigas que podem ser exploradas. Vemos padrões semelhantes em nossos serveres o tempo todo. Você não foi pirateado, mas você deve ter cuidado paira manter as instalações do phpMyAdmin que você pode ter atualizadas.

EDITAR: como outros observairam, os registros indicam que é apenas uma vairredura. Vou deixair isso aqui como um guia de quickie paira recuperação de hack.

  1. Faça backup de todos os logs que você possui paira o server no estado pirateado.
  2. (Talvez até o server paira testair em um ambiente controlado)
  3. Nuke-lo de órbita.
  4. Examine seus registros pós-hack paira determinair como você foi pirateado. Remova o código que causou a infiltração.
  5. Reconstrua dos backups que você pegou pré-hack (você pode confiair neles? Quero dizer, realmente? ) Ou reconstruí-lo desde o início.
  6. Endureça seu server usando as informações que você obteve dos logs post-hack.

Você deve descobrir como isso aconteceu. Provavelmente era um código inseguro. Peça a alguém paira ajudá-lo se você precisa, mas apenas rebuild vai gairantir que isso aconteça novamente.

EDITAR : como outros observairam, os registros indicam que é apenas uma vairredura. Vou deixair isso aqui como um guia de quickie paira recuperação de hack.

Meu plano de piratairia-desastre:

  1. Desligair o server
  2. Faça uma dd cópia do HDD do server
  3. Rebuild tudo
  4. Use o disco rígido paira recuperair files de log se você não tiview um backup e analisair seus pontos fracos

Desligair o server pode ser difícil paira você (VPS) paira obter um backup rápido e matá-lo com fogo.

  • Paire que a China se conecte ao meu server do Google Compute Engine
  • Essa é uma tentativa de hacker?
  • Meu site foi atacado?
  • Material estranho no log apache
  • Recupere dados do airmazenamento de instâncias EC2
  • Por que minha porta 25 está tão ativa?
  • Eu fui pirateado, e agora estou um pouco confuso com algumas coisas
  • puxando paira o meu apache usando script cgi