@ultrix
Линукс, Виндовс, инженер.

Как понять откуда появляется майнер?

Всем доброе утро.

Есть старенький сайт. Судя по всему дырявенький. Ситуация стандартная, как всегда кто-то когда-то поднял сервачек. Хозяина уже сто лет как нет. Все от сервачка открещиваются.

На нём крутиться debian + apache2.2 + php5.4 + mysql.

Хостятся 4 сайта.

Периодически появляется через php запущенный процесс - крипто-майнер. Майнит на сайт xmr.crypto-pool.fr.

В папке /tmp появляется конфиг и исполнительный файл. Иногда сразу по два процесса.

Удалаю файлик, кил процесс - хватает на 1-2 дня. Появляется снова.

Как я понял, логи после запуска процесса затираются, потому что многие логи становятся "нулевыми".

Как понять откуда он появляется ? С чего стоит начать ?
  • Вопрос задан
  • 203 просмотра
Пригласить эксперта
Ответы на вопрос 2
@Stqs
senior software developer
Виталий Р,

1)я бы попытался обновить ось если конечно это допустимо
2)отключаем ssh по паролю вообще
оставляем только по ключам
меняем дефолтный порт с 22 на какой-то другой
3)делаем ревизии имеющегося барахла ( конечно нас интересует те части системы которые хоть как-то выглядывают наружу) - нужно иметь список подозреваемых. то есть грубо говоря netstat'ом смотрим список открытых портов
маппим их в процессы
смотрим что это за процессы и выясняем насколько это ПО устаревшее и дырявое

дальше идем по списку тулзов/фремворков которые мы отревизили и пытаемся по базам уязвимостей найти чтото интересное для нашей версии продукта
если там действительно жопа и уязвимостей уже куча - то деваться некуда придется обновлять ПО

ответ конечно не исчерпывающий потому как оно все очень depends
но я так понимаю вы вообще в растерянности и не знаете с чего начать
так что первое правило - нужно узнать по-максимуму все о своей системе и нужно олицетворить зло (то есть узнать с каким конкретно ПО мы имеем дело на данном конкретном сервере)
дальше проще пойдет

если время позволяет - разобраться бы от какого пользователя все это барахло запущено
может быстро получиться порубать права кому-то и опять же получить максимально быстро какой-то результат
Ответ написан
MyMac
@MyMac
Если инициируется снаружи (запрос php-скрипта) то можно попробовать найти по логам Apache в момент создания файлов в /tmp . То есть просто смотрим время создания, и по access-log - какие скрипты в этот момент запрашивались и откуда. Возможно, удастся выловить и обойтись малой кровью, просто подчистив исходник.

Но дырку всё равно нужно искать. Пропатчили один раз - пропатчат и второй (если пролезло через php - то 99% что проблема в какой-нибудь древней уязвимости одного из стандартных фреймворков, Stanislav Pugachev прав, никто ничего специально писать не стал бы).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы
от 60 000 до 90 000 руб.
от 70 000 до 120 000 руб.
ИА «Кельник» Санкт-Петербург
от 50 000 до 70 000 руб.
15 авг. 2018, в 23:38
300 руб./за проект
15 авг. 2018, в 22:39
60000 руб./за проект
15 авг. 2018, в 21:18
30000 руб./за проект