Как можно понять как хакер изменяет файл и как имеет доступ?

Question

[Руслан Абсалямов]

Взломали сервер, следов входа в ssh нет, в файле /var/log/auth.log никакой активности не видно. Меняли пароль по ssh, но все равно хакер заходит.
Что делает хакер только изменяет файл на сервере и больше ничего. Изменяет он меняя способы оплаты. Понимаю я это за счет git status и откатываю изменения. Не пойму как запретить ему досуп и как он вообще меняет файлы на серваке напрямую без активности.
Есть предположение что подключается sftp (Например FileZilla)
Непонятно вообще где что искать и убрать уязвимость

Comments

[Adamos]

Подобный вопрос стоит начать с перечисления того, что стоит на сервере.
Например, через дыры в веб-сайтах взломов куда больше, чем через SSH.
Судя по упоминанию "способов оплаты". это и есть наиболее вероятный сценарий ;)

[Руслан Абсалямов]

Adamos, стоит php nginx mysql. Но все равно изменять в файле нельзя же без подключения. Это меняется все на сервере

[Василий Банников]

Руслан Абсалямов, почему нельзя то? Если у пыхи есть права на запись файлов, то вполне можно

[Василий]

возможно устанвлен какой то бэк дор. Смотрите какие порты слушаются.
Если не хочется возится, переедьте на новый чистый сервер.

[Adamos]

Руслан Абсалямов, сайт на какой CMS стоит на этом всем?
У Битрикса, например, штатно администратор может хоть все файлы переписать.

[Руслан Абсалямов]

Adamos, не cms, стоит фреймвор yii2

[Руслан Абсалямов]

Василий Банников, А как можно записать файл в определенное место, допустим изменить контроллер

[Adamos]

Руслан Абсалямов, вот по списку уязвимостей yii2, выявленных с той версии, которая у вас стоит, и надо пройтись.
Лучше - с тем, кто делал на нем сайт, конечно.

[Viktor T2]

https://rus-linux.net/MyLDP/kernel/Inotify-tools.html
https://www.google.com/search?q=linux+file+watcher

[Игорь]

Руслан Абсалямов, через уязвимость yii2, через уязвимость в вашем годе, через уязвимость в библиотеках которые вы используете
через что угодно

[R3n0]

До кучи ещё было бы хорошо узнать что конкретно означает формулировка: "Изменяет он меняя способы оплаты". Изменяет файл, меняя способы оплаты? Что на что конкретно меняется, какая ему выгода от такой смены способов оплаты?

Answer 1

[Saboteur]

следов входа в ssh нет, в файле /var/log/auth.log никакой активности не видно.

Значит не по ssh

Меняли пароль по ssh, но все равно хакер заходит.

Кроме пароля есть множество вариантов, как организовать себе доступ, если смог один раз на сервер залезть. А если еще и под рутом, то там вообще иногда проще переустановить.

Что делает хакер только изменяет файл на сервере и больше ничего

Так ищите другие варианты. Бэкдоры, уязвимости в вебсервере или других сервисах (удаленный мониторинг например). У каких пользователей есть доступ к фалу, от этого отталкивайтесь.

Answer 2

[Константин]

Пройдитесь айболитом разок по всем файлам cmf - https://github.com/KashifHK123/AI-Bolit
Скорее всего через уязвимость в cmf.

Предварительно скопируйте каталог сайта на другой сервер (в виртуалбоксе например) и уже там просканируйте, это на всякий случай, если сам сканер может быть заражённым.

Вот такой командой сканировал

cd /root/Aibolit/ai-bolit
php -d short_open_tag=on ai-bolit-hoster.php --path=/home/ --report=/root/Aibolit/_scan5/all-report.html --list=/root/Aibolit/_scan5/all-report.txt --smart --scan=php,.,js,htaccess,html,htm,phtml,tpl,inc,css,txt,sql,ico,cgi,pl,py,sh,php3,php4,php7,pht,shtml,susp,suspected,vir,old --deobfuscate --memory=1G --progress=/tmp/progress_1.json

Answer 3

[Михаил Ливач]

самое простое - посмотреть на время изменения файла, затем по логам веб-сервера проверить, что происходило в это время или раньше.
проверить crontab.
Ещё можно использовать inotify

Answer 4

[CityCat4]

Десять лет назад сервак в конторе бывший админ-обиженка пытался поломать через коннект по pppd :) Пароль рута к тому времени уже поменяли, но немного нагадить он все же смог :)
Смотрите все сервисы, которые способны авторизовывать пользователя.
Поменяйте права на файл, сделайте максимально узкими.

Answer 5

[Сергей Сахаров]

Первое что - смотрите какие службы запущены. За что не люблю винду - в диспетчере процессов на три экрана... В Linux/BSD стараюсь запускать минимум - вплоть до того, что в /etc/ttys оставляю всего две консоли. Для локального доступа - админу хватит, а больше вроде и незачем.
Бэкдор почти всегда - запущенный процесс.
Благо, что в BSD почти все критичные процессы (включая веб) - в jail (chroot).

Какую роль выполняет сервер? Можно ли поменять стандартные порты?
Тот же ssh повесить на 3128, например...

В особо тяжёлых случаях рекомендую IDS - например, Snort