Dün akşam telefondaki “serverde bir şeyler oluyor, ne olduğunu anlamıyorum bir bakar mısın hocam” ile başlayıp gecenin büyük bir kısmını alt üstü eden trojan saldırısından belki sizinden başınız yanabilir diye, yapmanız gerekenleri yazıyorum.
1. mrtg grafiğinize bakın. Gördüğünüz veri akışı normal mi?
12.4 MB/sn lik bir veri akışı saat 10 da başlamış (GMT -8), ben müdahil olduğumda saat 22 idi ve dışarıda bir yerlere çok ciddi trafik gidiyordu.
2. Sisteme illegal giriş olup olmadığını kontrol ettim. last root (bilinmeyen bir giriş yok)
3. Shell access i olabilecek kullanıcıları tespit ettim (cat etc/passwd) onların sisteme giriş tarihlerine baktım, yine problem yok.
4. netstat -an | more , burada web sunucusuna bir çok bağlantı gözüküyor, fakat o da ne, 149 la başlayan bir IP adresinin 7000 no lu portuna hızlı bir veri akışı var!.
5. top ile sistem proseslerine göz gezdirdiğimde 2 perl prosesinin uzunca bir süredir sistem kaynaklarını sömürdüğünü gördüm. Demek şu anda sistemde illegal çalışan bir program var.
6. “Bu proses cron ile kendini yeniden başlatıyordur” tahmini ile /var/spool/cron klasöründeki root ve nobody dosyalarına baktım. nobody dosyasının içinde * * * * * /tmp/components/y2kupdate >/dev/null 2>&1 satırı aslanlar gibi duruyor!
7. y2kupdate programının ne olduğu, nerden geldiği ve ne iş yaptığını google da biraz araştırdıktan sonra, tmp deki tüm dosyaları temizledim. Ancak ./ ile gizlenmiş klasörler de duruyor.Dosyaları rm -rfv * ile sildiğinizden emin olun. Gizli dosyaları de silecektir.
8. Bu dosyalar permission u bozuk ya da bir exploit içeren bir scriptten geliyor olmalıydı. find /home -name c99* -print ile c99 shell upload edilen dosyaları arattığımda warez edilmiş bir scriptin açtığı cache klasörünün içine bu shell in yerleştirildiğini gördüm. Bu klasörü de rm -rfv ile sildim.
9. Ancak acaba sistemde başka börtü böcek olup olmadığı konusunda emin değildim. rkhunter programı ile sistemi bir check etmenin faydalı olacağını düşünerek:
wget http://kent.dl.sourceforge.net/sourceforge/rkhunter/rkhunter-1.3.0.tar.gz
tar zxvf rkhunter-1.3.0.tar.gz
cd rkhunter-1.3.0
sh installer.sh –layout default –install
rkhunter –checkall
ile tüm sistemde başka bir zararlı olmadığından emin oldum.
10. En ilginci de, sisteme IPTables tabanlı bir firewall kurulmamış olmasıydı. Kendi sistemimdeki IPtables scriptini cpanel için uyarlayarak firewall u install ettim. (Bu firewall bir başka yazının konusu)
11. Sistemi restart ederek aktiviteleri izlemeye başladım. apache nin domain logları, sistem logları, mrtg nin trafik iletileri, netstat verileri… her şey normal gözüküyordu.
12. Bugünkü kontrollerimde yine her şey normaldi.
Başınıza böyle bir şey geldi ise yapmanız gerekenleri bir de kitabından özetlemek gerekirse:
1. /tmp, /var/tmp, /dev/shm, /var/spool/samba, /var/spool/vbox, /var/spool/squid, and /var/spool/cron klasörlerine ls -lab çekin. Böylece Gizli dosyaları da göreceksiniz. Özellikle ./ ile gizlenmiş dosyaların varlığını kontrol edin.
2. ps -efl ya da ps-auwx ile normal dışı proses olup olmadığını kontrol edin. Özellikle sistem kaynaklarını çok kullanan program var mı bakın.
3. Clam antivirüs ile —infected ve —recursive anahtarları ile “clamscan –infected –recursive” olası PHP ve PERL shell lerini arayın.
4. http://www.chkrootkit.org/ http://www.rootkit.nl/ http://www.ossec.net/en/rootcheck.html herhangi bir ile rootkit leri taratın.
0 Responses to “Rootkit Saldırılarına Dikkat!”