У нас есть сервер ubuntu-11.04, на котором работает postfix, который, похоже, участвует в атаке на другие компьютеры. На сервере наблюдались следующие процессы:
www-data 6465 28192 0 08:52 ? 00:00:00 /bin/bash ./su 62.150
www-data 6469 6465 0 08:52 ? 00:00:00 sleep 10
www-data 19614 1 63 Nov14 ? 08:48:26 klogd -x
www-data 28191 1 0 Nov13 ? 00:00:00 sh -c ./rand 2>&1 3>&1
www-data 28192 28191 0 Nov13 ? 00:00:17 /bin/bash ./rand
www-data 31401 1 0 Nov12 ? 00:00:00 sh -c ./rand 2>&1 3>&1
www-data 31402 31401 20 Nov12 ? 14:45:44 /bin/bash ./rand
Кроме того, следующие записи были в /var/log/auth.log
Nov 10 13:46:06 smtp2 su[21335]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost= user=root
Nov 10 13:46:07 smtp2 su[21335]: pam_authenticate: Authentication failure
Nov 10 13:46:07 smtp2 su[21335]: FAILED su for root by www-data
Nov 10 13:46:07 smtp2 su[21335]: - /dev/pts/0 www-data:root
Nov 10 13:46:08 smtp2 su[21336]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost= user=root
Nov 10 13:46:10 smtp2 su[21336]: pam_authenticate: Authentication failure
Nov 10 13:46:10 smtp2 su[21336]: FAILED su for root by www-data
Nov 10 13:46:10 smtp2 su[21336]: - /dev/pts/0 www-data:root
Nov 10 13:46:10 smtp2 su[21337]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost= user=root
Nov 10 13:46:13 smtp2 su[21337]: pam_authenticate: Authentication failure
Nov 10 13:46:13 smtp2 su[21337]: FAILED su for root by www-data
Nov 10 13:46:13 smtp2 su[21337]: - /dev/pts/0 www-data:root
Nov 10 13:46:13 smtp2 su[21338]: pam_unix(su:auth): authentication failure; logname= uid=33 euid=0 tty=/dev/pts/0 ruser=www-data rhost= user=root
Nov 10 13:46:14 smtp2 su[21338]: pam_authenticate: Authentication failure
Nov 10 13:46:14 smtp2 su[21338]: FAILED su for root by www-data
. При поиске в системе файлов с именем rand обнаруживается следующее:
find . -name rand -print
./tmp/rup/rand
/tmp
имеет следующее:
drwxr-xr-x 2 www-data www-data 4096 2013-11-15 10:24 rup
-rw-r--r-- 1 www-data www-data 1080938 2013-11-13 13:51 rup.tgz
Это нормально? Кажется, что сервер был заражен в какой-то момент, хотя единственными открытыми портами являются pop3 и smtp. Может ли сервер заразиться с помощью этих портов? Если да, что можно сделать для защиты сервера от дальнейших заражений?
Да, возможно заразиться любым сервисом, в котором есть уязвимости, независимо от того, какой это порт или какой сервис.
В вашем случае Ubuntu 11.04 достиг конца срока службы (EOL) 28 октября 2012 г. Если у вас нет хороших процедур для обновления или обнаружения и исправления уязвимостей, я настоятельно рекомендую придерживаться выпусков Ubuntu LTS для серверов в производственной среде. , Ubuntu 12.04.3 LTS (долгосрочная поддержка) будет разумным выбором, поскольку она будет поддерживаться обновлениями безопасности до апреля 2017 года.
Существует множество руководств по обеспечению безопасности серверов Ubuntu, поиску в Интернете и попыткам отфильтровать то, что лучше всего подходит для ваших услуг.
Если вы решите придерживаться Ubuntu 12.04 LTS, я бы посоветовал взглянуть на руководство для сервера. У этого также есть часть безопасности . Fail2ban может вас заинтересовать. Но, возможно, самое важное - это автоматизированное обновление безопасности .