Não sou administrador de servidores e tenho pouca experiência em "depurar" um servidor. Mas olhando meus arquivos de log, parece que estou sendo hackeado.
Mas não tenho ideia do que devo fazer: - /
Tipo de servidor: VPS
SO: Linux 2.6.18
Servidor: Centos 5
Interface de administração: Parallels Plesk 9
Uso atual de mem: 200 de 1024.
Arquivo de log de erros 10 de julho
[Sat Jul 09 15:37:38 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/web
[Sat Jul 09 15:37:39 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/php-my-admin
[Sat Jul 09 15:37:39 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/websql
[Sat Jul 09 15:37:40 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpmyadmin
[Sat Jul 09 15:37:40 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin
[Sat Jul 09 15:37:40 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2
[Sat Jul 09 15:37:41 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/php-my-admin
[Sat Jul 09 15:37:41 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.2.3
[Sat Jul 09 15:37:41 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.2.6
[Sat Jul 09 15:37:42 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.1
[Sat Jul 09 15:37:42 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.4
[Sat Jul 09 15:37:43 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.5-rc1
[Sat Jul 09 15:37:43 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.5-rc2
[Sat Jul 09 15:37:43 2011] [error] [client 72.46.146.130] File does not exist: /var/www/vhosts/default/htdocs/phpMyAdmin-2.5.5
[Sat Jul 09 19:15:14 2011] [notice] mod_fcgid: process /var/www/vhosts/mysite.no/httpdocs/index.php(9512) exit(server exited), terminated by calling exit(), return code: 0
[Sat Jul 09 20:01:34 2011] [error] [client 93.158.147.8] File does not exist: /var/www/vhosts/default/htdocs/robots.txt
[Sat Jul 09 21:09:18 2011] [notice] mod_fcgid: process /var/www/vhosts/mysite.no/httpdocs/index.php(18166) exit(normal exit), terminated by calling exit(), return code: 0
[Sat Jul 09 21:09:18 2011] [warn] mod_fcgid: cleanup zombie process 18166
Arquivo de log de erros tth August
[Sun Jul 31 03:34:54 2011] [warn] Init: SSL server IP/port conflict: default-217-170-195-78:443 (/etc/httpd/conf.d/zz010_psa_httpd.conf:78) vs. horde.webmail:443 (/etc/httpd/conf.d/zzz_horde_vhost.conf:41)
[Sun Jul 31 03:34:54 2011] [warn] Init: You should not use name-based virtual hosts in conjunction with SSL!!
[Sun Jul 31 03:34:54 2011] [warn] WARNING: Attempt to change ServerLimit ignored during restart
[Wed Aug 03 18:54:45 2011] [notice] mod_fcgid: server /var/www/vhosts/mysite.no/httpdocs/index.php(10098) started
[Wed Aug 03 18:54:46 2011] [notice] mod_fcgid: too much /var/www/vhosts/mysite.no/httpdocs/index.php process(current:8, max:8), skip the spawn request
[Sun Jul 31 12:20:29 2011] [warn] mod_fcgid: cleanup zombie process 17543
[Thu Aug 04 07:38:57 2011] [error] [client 188.138.88.210] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
Eu pesquisei um pouco para ver se há algum "guia" para o que devo fazer. Mas acabei de encontrar muitos fóruns com pessoas nas mesmas situações que eu e sem uma resposta clara.
Provavelmente não há uma resposta clara, mas tenho certeza de que há alguns passos que todos devem conhecer.
Quais etapas devo fazer agora para parar de ser hackeado?
O que te faz pensar que você é hackeado? Os logs não mostram nenhuma indicação para isso.
Eles apenas mostram que alguém tentou acessar alguns arquivos que não existem no seu servidor.
E eles mostram que você tem um servidor da web configurado incorretamente com um módulo cgi que causa processos de zumbis e processos de morte.
@Iain comentou que se tratava de uma verificação automatizada, e não tenho certeza se estou certo ou errado, mas acho que vale a pena ser cuidadoso, pois o site está nuking e a reconstrução é um problema. um pouco trabalhoso se isso é apenas uma varredura.
Primeiro, você tem backups? Nesse caso, você pode tentar comparar o conteúdo de seu backup / sbin e / bin e de outros diretórios com o ambiente de produção para encontrar alterações.
Você tem verificadores de integridade de arquivos instalados? É inútil depois do fato de ter sido hackeado, mas se você não tiver, considere instalar um sistema como o tripwire ou o samhain. Configurados corretamente, eles podem enviar alertas por e-mail quando os arquivos são alterados ou há atividades suspeitas. (NOTA - isso requer manutenção. Quando você faz atualizações no sistema, atualize seus bancos de dados de acordo)
Verifique o sistema com chkrootkit e rkhunter.
Monitore seu sistema para atividades de rede incomuns. Use programas como ntop; obtenha estatísticas sobre o comportamento "normal" do seu sistema para saber quando algo não está certo ou deve ser analisado. Verifique se há portas abertas incomuns.
Analise seu sistema com o clamscan para ver se isso trava qualquer sinal usualmente de malware.
E se você não tiver backups ... comece a criá-los!
Por enquanto eu procuraria o comportamento semelhante que você vê nos logs e veria se outros postaram sobre ele e descobriu que era apenas uma varredura. Se o seu sistema não está atuando engraçado e as ferramentas de varredura de malware não estão encontrando nada provavelmente não precisa se preocupar (embora se ele tenha sido hackeado, o paranóico resposta é não confiar em seus binários ...). Se você instalou através de uma distro que usa um empacotador, pode ser possível verificar seus binários em relação ao empacotador para garantir que tudo corresponda ... se as somas de verificação coincidirem, você deve ser bom.
Eu não acho que você está sendo hackeado, alguém está apenas testando as fechaduras.
Eu bloquearia 72.46.146.130 em seu firewall (ou por meio de um firewall local) e depois verificaria seus bloqueios por conta própria (veja aqui e acesse Segurança .SE para aconselhamento).
Você pode levantar a regra de firewall mais tarde em seu próprio ritmo - Você também pode entrar em contato com o pessoal de abuso do VersaWeb ( Informações de contato no Whois para o IP ) e relate o incidente se estiver se sentindo particularmente útil / pedante.
Este é apenas um bot procurando por instalações do phpMyAdmin - existem erros em versões mais antigas que podem ser exploradas. Nós vemos padrões semelhantes em nossos servidores o tempo todo. Você não foi hackeado, mas deve ter o cuidado de manter qualquer instalação do phpMyAdmin que possa ter atualizado.
EDITAR: Como outros notaram, os registros indicam que é apenas uma varredura. Vou deixar isso aqui como um guia rápido para recuperação de hackers.
Você precisa descobrir como isso aconteceu. Provavelmente era algum pedaço de código inseguro. Peça ajuda a alguém para ajudá-lo, se necessário, mas apenas a reconstrução vai garantir que isso aconteça novamente.
EDITAR : Como outros notaram, os registros indicam que é apenas uma varredura. Vou deixar isso aqui como um guia rápido para recuperação de hackers.
Meu plano de desastre contra hackers:
dd -copy do HDD do servidor Desligar o servidor pode ser difícil para você (VPS), portanto, faça um backup rápido e mate-o com fogo.