Задать вопрос
@ultrix
Линукс, Виндовс, инженер.

Как понять откуда появляется майнер?

Всем доброе утро.

Есть старенький сайт. Судя по всему дырявенький. Ситуация стандартная, как всегда кто-то когда-то поднял сервачек. Хозяина уже сто лет как нет. Все от сервачка открещиваются.

На нём крутиться debian + apache2.2 + php5.4 + mysql.

Хостятся 4 сайта.

Периодически появляется через php запущенный процесс - крипто-майнер. Майнит на сайт xmr.crypto-pool.fr.

В папке /tmp появляется конфиг и исполнительный файл. Иногда сразу по два процесса.

Удалаю файлик, кил процесс - хватает на 1-2 дня. Появляется снова.

Как я понял, логи после запуска процесса затираются, потому что многие логи становятся "нулевыми".

Как понять откуда он появляется ? С чего стоит начать ?
  • Вопрос задан
  • 275 просмотров
Подписаться 1 Простой 21 комментарий
Пригласить эксперта
Ответы на вопрос 2
@Stqs
senior software developer
Виталий Р,

1)я бы попытался обновить ось если конечно это допустимо
2)отключаем ssh по паролю вообще
оставляем только по ключам
меняем дефолтный порт с 22 на какой-то другой
3)делаем ревизии имеющегося барахла ( конечно нас интересует те части системы которые хоть как-то выглядывают наружу) - нужно иметь список подозреваемых. то есть грубо говоря netstat'ом смотрим список открытых портов
маппим их в процессы
смотрим что это за процессы и выясняем насколько это ПО устаревшее и дырявое

дальше идем по списку тулзов/фремворков которые мы отревизили и пытаемся по базам уязвимостей найти чтото интересное для нашей версии продукта
если там действительно жопа и уязвимостей уже куча - то деваться некуда придется обновлять ПО

ответ конечно не исчерпывающий потому как оно все очень depends
но я так понимаю вы вообще в растерянности и не знаете с чего начать
так что первое правило - нужно узнать по-максимуму все о своей системе и нужно олицетворить зло (то есть узнать с каким конкретно ПО мы имеем дело на данном конкретном сервере)
дальше проще пойдет

если время позволяет - разобраться бы от какого пользователя все это барахло запущено
может быстро получиться порубать права кому-то и опять же получить максимально быстро какой-то результат
Ответ написан
MyMac
@MyMac
Если инициируется снаружи (запрос php-скрипта) то можно попробовать найти по логам Apache в момент создания файлов в /tmp . То есть просто смотрим время создания, и по access-log - какие скрипты в этот момент запрашивались и откуда. Возможно, удастся выловить и обойтись малой кровью, просто подчистив исходник.

Но дырку всё равно нужно искать. Пропатчили один раз - пропатчат и второй (если пролезло через php - то 99% что проблема в какой-нибудь древней уязвимости одного из стандартных фреймворков, Stanislav Pugachev прав, никто ничего специально писать не стал бы).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы