Master-X
Форум | Новости | Статьи
Главная » Форум » Хостинги / Домены / Железо » 
Тема: На одной VPS завелся хакер - вставляет AD код, дайте совет )
цитата
10/10/21 в 20:48
 Retox
Всё разобрался )

На сайты хакер из пакистана ставить свою рекламу
При этом файлы code.php и перезаписанный index.html имеют дату создания 3 октября, даже если созданы 10го. , как такое может быть? При этом скорее всего не в ручную меняется, для скрытия изменений. Как будто файл 3 октября восстанавливается из бэкапа.
Ex. -rwxrwxrwt 1 admin admin 64993 Oct 3 00:46 index.php


1) Шеллы искал софтом + по ключам типо eval, base64, passthru,system,passwd,shell,exec... и тп в /home/...
нечего не найдено

2) обновил VestaCP + Exim, поменял пароли root/admin/ftp, отключил ftp сервер.
Не помогает, через какое то время опять в файлы добавляется рекламный код и опять время создания 3 сентября.

3)cronы по всем пользователям корректны for user in $(cut -d':' -f1 /etc/passwd); do crontab -u $user -l; done
c панелью связаны + кроны SmartCJ cron/rotation файлы без изменений.
15 02 * * * sudo /usr/local/vesta/bin/v-update-sys-queue disk
10 00 * * * sudo /usr/local/vesta/bin/v-update-sys-queue traffic
30 03 * * * sudo /usr/local/vesta/bin/v-update-sys-queue webstats
*/5 * * * * sudo /usr/local/vesta/bin/v-update-sys-queue backup
10 05 * * * sudo /usr/local/vesta/bin/v-backup-users
20 00 * * * sudo /usr/local/vesta/bin/v-update-user-stats
*/5 * * * * sudo /usr/local/vesta/bin/v-update-sys-rrd
14 5 * * * sudo /usr/local/vesta/bin/v-update-sys-vesta-all
остальное мои smartcj кроны. стандартные с запуском cron.php/rotation.php


4) следы хакера
xferlog-20211010
изменение файла index.html и добавление код quote.php
Thu Oct 7 00:07:50 2021 3 188.161.172.62 73973 /public_html/index.html b _ i r admin_mydomain ftp 0 * c
Thu Oct 7 00:07:54 2021 1 188.161.172.62 75458 /public_html/index.html a _ o r admin_mydomain ftp 0 * c
Thu Oct 7 00:08:14 2021 1 188.161.172.62 6060 /public_html/quote.php b _ i r admin_mydomain ftp 0 * c
Thu Oct 7 08:44:45 2021 1 188.161.172.62 6060 /public_html/quote.php b _ i r admin_mydomain ftp 0 * c
Thu Oct 7 08:44:49 2021 2 188.161.172.62 73973 /public_html/index.html b _ i r admin_mydomain ftp 0 * c




там же может, что то лишнее добавлено в
cat passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:998:User for polkitd:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
systemd-bus-proxy:x:998:996:systemd Bus Proxy:/:/sbin/nologin
systemd-network:x:997:995:systemd Network Management:/:/sbin/nologin
clamupdate:x:996:994:Clamav database update user:/var/lib/clamav:/sbin/nologin
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin
nginx:x:995:991:nginx user:/var/cache/nginx:/sbin/nologin
exim:x:93:93::/var/spool/exim:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
webalizer:x:67:990:Webalizer:/var/www/usage:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
dovecot:x:97:97:Dovecot IMAP server:/usr/libexec/dovecot:/sbin/nologin
dovenull:x:994:989:Dovecot's unauthorized user:/usr/libexec/dovecot:/sbin/nologin
mysql:x:27:27:MariaDB Server:/var/lib/mysql:/sbin/nologin
clamscan:x:993:988:Clamav scanner user:/:/sbin/nologin
backup:x:1000:1000::/home/backup:/bin/bash
clam:x:1001:1001::/var/lib/clamav:/sbin/nologin
admin:x:1002:1002:xxxxx@mail.com:/home/admin:/bin/bash

и

cat auth.log в весту лазил хакер

2021-09-22 11:21:43 admin my-ip.43 successfully logged in
2021-09-22 12:03:38 admin my-ip.43 successfully logged in
2021-09-22 14:07:55 root 188.161.174.141 failed to login
2021-09-22 14:10:11 root 185.159.82.29 failed to login
2021-09-22 14:10:27 admin 185.159.82.29 failed to login
2021-09-22 14:11:37 admin 185.159.82.29 failed to login
2021-09-23 00:27:53 root 188.161.142.169 failed to login
2021-09-23 13:31:50 admin 178.211.33.244 successfully logged in
2021-09-23 13:55:32 admin my-ip.43 successfully logged in
2021-09-25 17:49:19 admin my-ip.43 successfully logged in
2021-09-26 07:44:13 admin my-ip.43 successfully logged in
2021-10-03 00:10:31 amin 188.161.173.1 failed to login
2021-10-03 00:10:37 admin 188.161.173.1 successfully logged in
2021-10-03 08:23:37 admin 109.201.194.23 failed to login
2021-10-03 08:24:07 root 109.201.194.23 successfully logged in
2021-10-07 15:16:11 admin my-ip.170 successfully logged in
2021-10-07 15:16:13 admin my-ip.170 successfully logged in
2021-10-08 11:56:15 admin my-ip.170 failed to login
2021-10-08 11:56:26 admin my-ip.170 failed to login
2021-10-08 11:56:35 root my-ip.170 successfully logged in
2021-10-09 09:01:49 root 148.72.171.47 failed to login
2021-10-09 11:30:23 admin my-ip.170 failed to login
2021-10-09 11:30:39 root my-ip.170 successfully logged in
2021-10-09 15:33:52 admin my-ip.170 successfully logged in
2021-10-10 00:53:42 root my-ip.170 successfully logged in
2021-10-10 13:23:27 root my-ip.170 successfully logged in

на FTP лазят vsftpd.log при включении vsftpd.
Sun Oct 10 04:14:08 2021 [pid 2540] CONNECT: Client "66.206.1.162"
Sun Oct 10 06:33:13 2021 [pid 22122] CONNECT: Client "5.8.10.202"
Sun Oct 10 06:33:29 2021 [pid 24099] CONNECT: Client "5.8.10.202"
Sun Oct 10 06:33:31 2021 [pid 24098] [anonymous] FAIL LOGIN: Client "5.8.10.202"
Sun Oct 10 06:41:27 2021 [pid 15917] CONNECT: Client "5.8.10.202"
Sun Oct 10 06:41:40 2021 [pid 17473] CONNECT: Client "5.8.10.202"
Sun Oct 10 06:41:42 2021 [pid 17472] [anonymous] FAIL LOGIN: Client "5.8.10.202"
Sun Oct 10 08:47:38 2021 [pid 18290] CONNECT: Client "64.62.197.2"
Sun Oct 10 09:51:34 2021 [pid 2850] CONNECT: Client "89.248.168.112"
Sun Oct 10 09:53:48 2021 [pid 8577] CONNECT: Client "35.233.62.116"
Sun Oct 10 09:53:48 2021 [pid 8579] CONNECT: Client "35.233.62.116"
Sun Oct 10 09:53:50 2021 [pid 8578] [anonymous] FAIL LOGIN: Client "35.233.62.116"
Sun Oct 10 10:26:06 2021 [pid 8520] CONNECT: Client "167.94.138.42"
Sun Oct 10 12:35:52 2021 [pid 20201] CONNECT: Client "34.86.35.21"


cat shadow
root:$6$7nUk*********************px5.7ULRsa8KmWjiu15vSK8j9IOsiM.:18907:0:99999:7:::
bin:*:16372:0:99999:7:::
daemon:*:16372:0:99999:7:::
adm:*:16372:0:99999:7:::
lp:*:16372:0:99999:7:::
sync:*:16372:0:99999:7:::
shutdown:*:16372:0:99999:7:::
halt:*:16372:0:99999:7:::
mail:*:16372:0:99999:7:::
operator:*:16372:0:99999:7:::
games:*:16372:0:99999:7:::
ftp:*:16372:0:99999:7:::
nobody:*:16372:0:99999:7:::
avahi-autoipd:!!:16528::::::
dbus:!!:16528::::::
polkitd:!!:16528::::::
tss:!!:16528::::::
postfix:!!:16528::::::
sshd:!!:16528::::::
systemd-bus-proxy:!!:17089::::::
systemd-network:!!:17089::::::
clamupdate:!!:18591::::::
apache:!!:18591::::::
nginx:!!:18591::::::
exim:!!:18591::::::
ntp:!!:18591::::::
webalizer:!!:18591::::::
named:!!:18591::::::
dovecot:!!:18591::::::
dovenull:!!:18591::::::
mysql:!!:18591::::::
clamscan:!!:18591::::::
backup:!!:18591:0:99999:7:::
clam:!!:18591:0:99999:7:::
admin:$6$KjVB./YS.E*****************************5xZv58e.l.dMzMI8om9.:18910:0:99999:7:::
redis:!!:18591::::::


Временно отрубил vsftpd сервер, закрыл доступ для сторонних IP к Vesta панели, ограничил доступ по ssh и сменил порт, удалил лишние rsa ключи в authorized_key...
Скан NeoPI шелов не выявил. В логах визуально не выявил левых post/get запросам к файлам. SmartCJ не показал, наличие файлов не входящих в билд.

Проверил ПК CureIt и AVZ, система чистая, думал может, какой трой тянет данные форм-граб/кейлог и тп, нет всё гуд.
цитата
29/01/22 в 07:04
 rubert
Хорошо что вы разобрались, как много на своем опыте я видел взломанных проектов которые использовали бесплатную панель управления VestaCP.


Эта страница в полной версии