Как злоумышленник проникает на сервер?

Question

[Алексей Денисов]

Подскажите как злоумышленник проникает на сервер и удаляет некоторые файлы и копии с сервера, также перезаписывает данные в mySQL если доступ по паролю отключен уже давно, используется вход по ключу через SFTP.
Как можно отследить и понять где уязвимость?

Answer 1

[VoidVolker]

Как можно отследить и понять где уязвимость?

Провести аудит безопасности сервера:

• Какие приложения установлены
  
• Какие запущены и что из них может быть стороннее
  
• Проверить настройки SSH
  
• Проверить настройки и логи фаерволла
  
• Проверить настройки и логи Fail2Ban
  
• Проверить логи - системные, mysql, SSH и прочие
  
• Проверить сетевую активность и/или добавить логгирование сетевой активности всех приложений
  

Answer 2

[Everything_is_bad]

1. утёк твой ключ
2. дыра в софте который ты используешь, ты же ничёго не рассказали про него, например, у тебя тема для вордпресса с бэкдором

Comments

[Алексей Денисов]

Сервер голый, только PHP + MySQL, никакой фреймворк не используется.
Установка PHP и MySQL произведена через панель управления сервером Webinoly (панель с управлением из консоли и то ее установил только для удобства установки PHP и MySQL)

[Everything_is_bad]

Алексей Денисов,

(панель с управлением из консоли и то ее установил только для удобства установки PHP и MySQL)

эээ зачем это? в чем проблема поставить apt'ом?

Сервер голый, только PHP + MySQL

так там твой код есть? может именно в нем проблема?

[Алексей Денисов]

Everything_is_bad,
На тот момент мне было проще так установить, так как практически не занимался ранее такими делами.

Забыл написать что помимо MySQL, установлен ещё PHP MyAdmin, но через него я так понимаю нет доступа к файловой системе, где удаляются файлы.

[Everything_is_bad]

Алексей Денисов, ну вот ничего не было и вдруг PHP MyAdmin всплыл, да, в нем тоже могут быть уязвимости.

[rPman]

проблемы с безопасностью могут быть на вашем компьютере (например домашнем или рабочем), с которого вы подключаетесь к серверу... достаточно что бы ключ доступа попал к злоумышленнику, типичный пример - локальная сеть провайдера (особенно так бывает когда провайдер купил бывшую домосетку, а оборудование не убрал) бывает буквально локальной или к примеру wifi сеть с простым паролем, и достаточно простого пароля к локальному пользователю на компьютере windows и вот злоумышленник его подобрал и копирует все что угодно себе,.. скрипты спамеров могут в авторежиме этим заниматься по всему миру, на одном компьютере у моего сына увели так пароль (лежал в текстовом файле в открытом виде) к гуглоаккаунту, завели на него avito и мошенничают помаленьку (обнаружили спамом от авито типа вы интересовались тем то и тем то вот рекомендации).

Answer 3

[Refguser]

Как злоумышленник проникает на сервер?

Судя по набору ПО речь идет о вебсервере. А сам по себе он бесполезен, если на нём не крути(я)ться сайты(ы).
В этом случае наиболее частый и простой способ - через уязвимости сайта.
Если используется популярная CMS, то методы устранения уязвимости (не путать с лечением!) просты и банальны - достаточно заменить движок и все модули/компоненты/плагины взятые с оф. сайта(ов). При этом не забыть проверить остающиеся файлы (начиная от хтацесса на верхнем уровне и заканчивая более глубокими уровнями).

Более подробно о причинах и лечении можно почитать тут. Инструкция написана для WordPress, но в основной части подходит для всех движков.

Comments

[Алексей Денисов]

Судя по набору ПО речь идет о вебсервере.

Да конечно это веб сервер, веб страниц у него нет, так как работает с приложением на Андроид.
Андроид приложение запрашивает данные из таблиц и отдает клиентам.
В базе несколько тысяч строк (менее 20.000), и воотч недавнего времени стали появляться проблемы.

В базе данных появились Триггеры, который модификацирует данные другой таблицы, а недавно удалили бэкап таблиц и некоторые файлы, которые также отдаются приложению на андроид

Очень хочется понять как проникают на сервер.
Готов оплатить помощь, но сейчас даже опасно искать помощь в интернет, так же могут кинуть либо подсунуть что то не хорошее.

[Everything_is_bad]

Алексей Денисов,

Да конечно это веб сервер, веб страниц у него нет, так как работает с приложением на Андроид.

какое-то непонимание, веб-серверы это не только страницы, твое API может быть написано с уязвимостями, такими же как и у "веб страниц", потому что по факту это одно и тоже, просто разный формат представления данных.

[Refguser]

Алексей Денисов, сам вебсервер не может работать ни с БД (ну почти ;) только это уже про другое) ни тем более с Андроид-приложением. Этим занимается какой-то php-скрипт (раз тебе php понадобился). Вот в нём и может быть дыра. Или даже в твоём андроид-приложении.

А "веб страницы" - это не одно и тоже что и "веб-сайт" ака "веб-приложение". Оно не обязательно будет выставляться наружу.

[Алексей Денисов]

Да я понимаю что может быть "дыра" в PHP скриптах, но даже если и так,
то доступ к файловой системе не может разрешиться как мне кажется.

Весь сервер - на самоеисных PHP скриптах, каждый отвечает за определенный запрос от Андроид приложения, и почти каждый из них обращается к БД за проверкой и так далее.

Через " дыру" могли (пару лет назад так было SQL injection, не было проверки вводимых данных от клиента) вытащили таблицы, но как тогда объяснить удаление файлов?
Т.е. доступ к файловой системе, бэкап баз копировался на сервере в каталог выше сервера с помощью CRON и он был удалён.

[Refguser]

Алексей Денисов,

но даже если и так,
то доступ к файловой системе не может разрешиться как мне кажется.

Не просто может, но и должен. И так работает вебсервер по умолчанию.
Запретить конечно можно, но это неправильный метод. Правильный - устранить уязвимость в скрипте.

ЗЫ. А если ещё и скрипты залиты от рута или юзера с админ правами, то... всё очень плохо.

[Михаил]

Алексей Денисов, так php имеет доступ к файловой системе. Под тем пользователем, от которого запускается, www-data.
Чтоб не шуровал выше где не надо есть open_basedir.

А что, твое api там сидит на сервере без гита?
Он бы показал если что в код ливанули. А вендор переустановить.

А так конечно ваши самописные скрипты, вызывают подозрение. Даже по сказанному видно что они как то странно собирались, не одна точка входа, а кучка файликов, так давно не делается

[Refguser]

Михаил,

www-data.

Вот это кстати, опасная настройка. php должен работать под пользователем сайта (домена). Так хотя бы меньше шансов выхода за его пределы.

[Михаил]

Refguser, это вы про виртуальный хостинг?

[Refguser]

Михаил,

spoiler

"виртуальный".. придумают же "терминов".

Это я про настройку вебсервера.

Answer 4

[ThunderCat]

Первое что стоит проверить - есть ли у вас скрипты принимающие файлы, например загрузка аватаров. Проверить папку загрузки на наличие странных файлов, например что-то типа pupkin.jpg.php...

Answer 5

[Servifed]

Анекдот в тему:
- Саша, хотел у тебя спросить. Задача вот какая...
- Погоди, погоди, тебе совет или консультацию?
- А в чем разница?
- Совет бесплатный, консультация за деньги.
- Совет, конечно!
- Мой тебе совет: запишись на консультацию.

Answer 6

[Алексей Денисов]

Добрый день, извините сразу не ответил.

Скрипты принимающие Файлы от клиента есть

Сменил RSA ключ доступа к серверу по SSH,
через пол дня неизвестный удалил каталог с файлами на несколько Gb,
Файл логов доступа (access) NGINX, зачищен как раз до того времени как в свойствах каталог, т.е. затирают следы.

Но далее в логах есть запросы на PHP файл/файлы которые я не создавал, с кодом ответа 200 !!!
При проверке файлов, их естественной Нет, но код 200 говорит о том что файл был и выдал клиенту либо выполнил какое-то действие.

Верно ли я понимаю, что имеется какой-то скрипт/файл, который принимает запрос злоумышленника,, например в POST, который создаёт рандомный файл с определенным действием?

Выше каталогв сервера Ни один скрипт не будет работать, или все таки можно создать/обращаться к файлам за пределами /var/www/

Comments

[MikeHail]

Ну, ок, затирает логи, создать задачу что будет копировать логи куда то ещё.

include '../shell.php' подключит файлы выше вашей текущей папки.

[vladko312]

Злоумышленник вероятнее всего загрузил файл php с кодом, который позволяет выполнять команды операционной системы (например, при помощи функции system). После этого, он что-то сделал и удалил файл. Вероятно, злоумышленник уже добавил на сервер другие пути входа, в обход уязвимости.

[bu_sh]

весло то, что автор вопроса убежден в том, что его сообщение будет просканировано каким-то суперсканнером, который идентифицирует дыру в безопасности и выдадут решение... но в изначальной формулировке запроса (и в последующих ответах на комменты автора) сказано про голый php mySQL и PHPMyAdmin, потом еще, как я понял вылазит NGINX и я убежден что это далеко не все... Ваши догадки про скрипт создающий страницы - весьма сложная схема, и если, на этом сервере не крутятся банковские приложения или биржа какая-то - такой способ весьма труднореализуемый, индивидуально. На счет логов ssh, я так и не понял в чем проблема? нельзя закрыть директорию для удаленных пользователей, а оставить доступ только физически авторизированному пользователю?

Answer 7

[lantonov]

Очень просто если система не обновляется то там есть уязвимость в ssh была недавно найдена и поэтому для оценки уязвимости можно использовать shodan он показывает все уязвимости хоста общее известные

Answer 8

[devsia93]

Если вы проанализируете логи nginx, то увидите, что к вашему сервису отправляются запросы на получение страницы админки, а также инъекции с командами "rm" в строке uri. Это ботнет.
Когда-то у меня был свой сервер на python и иногда он плохо отвечал, я смотрел логи сервера и видел эти запросы.

Answer 9

[user0k]

Киньте сюда ссылку на ваш сервер. Мы попробуем проанализировать.
Банальная SQL инъекция.