Реклама на сайте Advertise with us

На одной VPS завелся хакер - вставляет AD код, дайте совет )

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 19.04.05
Сообщения: 1577
Рейтинг: 957

Ссылка на сообщениеДобавлено: 10/10/21 в 20:48       Ответить с цитатойцитата 

Всё разобрался )

На сайты хакер из пакистана ставить свою рекламу
При этом файлы code.php и перезаписанный index.html имеют дату создания 3 октября, даже если созданы 10го. , как такое может быть? При этом скорее всего не в ручную меняется, для скрытия изменений. Как будто файл 3 октября восстанавливается из бэкапа.
Ex. -rwxrwxrwt 1 admin admin 64993 Oct 3 00:46 index.php


1) Шеллы искал софтом + по ключам типо eval, base64, passthru,system,passwd,shell,exec... и тп в /home/...
нечего не найдено

2) обновил VestaCP + Exim, поменял пароли root/admin/ftp, отключил ftp сервер.
Не помогает, через какое то время опять в файлы добавляется рекламный код и опять время создания 3 сентября.

3)cronы по всем пользователям корректны for user in $(cut -d':' -f1 /etc/passwd); do crontab -u $user -l; done
c панелью связаны + кроны SmartCJ cron/rotation файлы без изменений.
15 02 * * * sudo /usr/local/vesta/bin/v-update-sys-queue disk
10 00 * * * sudo /usr/local/vesta/bin/v-update-sys-queue traffic
30 03 * * * sudo /usr/local/vesta/bin/v-update-sys-queue webstats
*/5 * * * * sudo /usr/local/vesta/bin/v-update-sys-queue backup
10 05 * * * sudo /usr/local/vesta/bin/v-backup-users
20 00 * * * sudo /usr/local/vesta/bin/v-update-user-stats
*/5 * * * * sudo /usr/local/vesta/bin/v-update-sys-rrd
14 5 * * * sudo /usr/local/vesta/bin/v-update-sys-vesta-all
остальное мои smartcj кроны. стандартные с запуском cron.php/rotation.php


4) следы хакера
xferlog-20211010
изменение файла index.html и добавление код quote.php
Thu Oct 7 00:07:50 2021 3 188.161.172.62 73973 /public_html/index.html b _ i r admin_mydomain ftp 0 * c
Thu Oct 7 00:07:54 2021 1 188.161.172.62 75458 /public_html/index.html a _ o r admin_mydomain ftp 0 * c
Thu Oct 7 00:08:14 2021 1 188.161.172.62 6060 /public_html/quote.php b _ i r admin_mydomain ftp 0 * c
Thu Oct 7 08:44:45 2021 1 188.161.172.62 6060 /public_html/quote.php b _ i r admin_mydomain ftp 0 * c
Thu Oct 7 08:44:49 2021 2 188.161.172.62 73973 /public_html/index.html b _ i r admin_mydomain ftp 0 * c




там же может, что то лишнее добавлено в
cat passwd
Код: [развернуть]


и

cat auth.log в весту лазил хакер

2021-09-22 11:21:43 admin my-ip.43 successfully logged in
2021-09-22 12:03:38 admin my-ip.43 successfully logged in
2021-09-22 14:07:55 root 188.161.174.141 failed to login
2021-09-22 14:10:11 root 185.159.82.29 failed to login
2021-09-22 14:10:27 admin 185.159.82.29 failed to login
2021-09-22 14:11:37 admin 185.159.82.29 failed to login
2021-09-23 00:27:53 root 188.161.142.169 failed to login
2021-09-23 13:31:50 admin 178.211.33.244 successfully logged in
2021-09-23 13:55:32 admin my-ip.43 successfully logged in
2021-09-25 17:49:19 admin my-ip.43 successfully logged in
2021-09-26 07:44:13 admin my-ip.43 successfully logged in
2021-10-03 00:10:31 amin 188.161.173.1 failed to login
2021-10-03 00:10:37 admin 188.161.173.1 successfully logged in
2021-10-03 08:23:37 admin 109.201.194.23 failed to login
2021-10-03 08:24:07 root 109.201.194.23 successfully logged in
2021-10-07 15:16:11 admin my-ip.170 successfully logged in
2021-10-07 15:16:13 admin my-ip.170 successfully logged in
2021-10-08 11:56:15 admin my-ip.170 failed to login
2021-10-08 11:56:26 admin my-ip.170 failed to login
2021-10-08 11:56:35 root my-ip.170 successfully logged in
2021-10-09 09:01:49 root 148.72.171.47 failed to login
2021-10-09 11:30:23 admin my-ip.170 failed to login
2021-10-09 11:30:39 root my-ip.170 successfully logged in
2021-10-09 15:33:52 admin my-ip.170 successfully logged in
2021-10-10 00:53:42 root my-ip.170 successfully logged in
2021-10-10 13:23:27 root my-ip.170 successfully logged in

на FTP лазят vsftpd.log при включении vsftpd.
Sun Oct 10 04:14:08 2021 [pid 2540] CONNECT: Client "66.206.1.162"
Sun Oct 10 06:33:13 2021 [pid 22122] CONNECT: Client "5.8.10.202"
Sun Oct 10 06:33:29 2021 [pid 24099] CONNECT: Client "5.8.10.202"
Sun Oct 10 06:33:31 2021 [pid 24098] [anonymous] FAIL LOGIN: Client "5.8.10.202"
Sun Oct 10 06:41:27 2021 [pid 15917] CONNECT: Client "5.8.10.202"
Sun Oct 10 06:41:40 2021 [pid 17473] CONNECT: Client "5.8.10.202"
Sun Oct 10 06:41:42 2021 [pid 17472] [anonymous] FAIL LOGIN: Client "5.8.10.202"
Sun Oct 10 08:47:38 2021 [pid 18290] CONNECT: Client "64.62.197.2"
Sun Oct 10 09:51:34 2021 [pid 2850] CONNECT: Client "89.248.168.112"
Sun Oct 10 09:53:48 2021 [pid 8577] CONNECT: Client "35.233.62.116"
Sun Oct 10 09:53:48 2021 [pid 8579] CONNECT: Client "35.233.62.116"
Sun Oct 10 09:53:50 2021 [pid 8578] [anonymous] FAIL LOGIN: Client "35.233.62.116"
Sun Oct 10 10:26:06 2021 [pid 8520] CONNECT: Client "167.94.138.42"
Sun Oct 10 12:35:52 2021 [pid 20201] CONNECT: Client "34.86.35.21"


cat shadow
Код: [развернуть]



Временно отрубил vsftpd сервер, закрыл доступ для сторонних IP к Vesta панели, ограничил доступ по ssh и сменил порт, удалил лишние rsa ключи в authorized_key...
Скан NeoPI шелов не выявил. В логах визуально не выявил левых post/get запросам к файлам. SmartCJ не показал, наличие файлов не входящих в билд.

Проверил ПК CureIt и AVZ, система чистая, думал может, какой трой тянет данные форм-граб/кейлог и тп, нет всё гуд.

2
 



С нами с 28.02.10
Сообщения: 38
Рейтинг: -21

Ссылка на сообщениеДобавлено: 29/01/22 в 07:04       Ответить с цитатойцитата 

Хорошо что вы разобрались, как много на своем опыте я видел взломанных проектов которые использовали бесплатную панель управления VestaCP.

1
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор раздела Стань спонсором этого раздела!

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »