CentOS 7: как логгировать все сетевые подключения и трафик для выявления дыры?

Question

[ILaeeeee]

Хао!

Суть: на вебсервере (VPS) появляется периодически вредоносный php скрипт на разных сайтах. Нужно: определить дыру.

Сначала думал что дыра в php приложении. Поставил mod_security для апача. Помониторил все HTTP запросы через log. Никаких дыр не обнаружил (ни через get, ни через post и т.д.). Скрипт появляется магическим образом.

Сканеры уязвимостей мне тоже ничего не дали (какими пользовался).

Посмотрел логи messages и secure в CentOS. Тоже ничего подозрительного не увидел.

Подумал, что если было бы нечто, что складывало бы все сетевые подключение с входящими данными в log, это мне бы помогло.

Answer 1

[ILaeeeee]

Tcpdump, Wireshark

Comments

[Максим Корнеев]

а есть анализаторы собранного raw трафика? иначе на разбор собранного уйдет вся жизнь

[ILaeeeee]

Максим Корнеев, сам пока не дошёл до внедрения, только нашёл то, что искал.
Но Wireshark как раз позиционируется как анализатор https://ru.wikipedia.org/wiki/Wireshark.

Суть такая, что раз никто так и не ответил на мой вопрос, то приходиться самому разбираться. :)

[Максим Корнеев]

ILaeeeee, что такое варешарк и тспдамп я знаю и представляю сколько они соберут с сервера с десятком сайтов. при Вашей задаче "найти не знаю что и когда" вручную перелопатить такое количество пакетов да еще без опыта скорее всего не реально. а если у Вас там https то эти пакеты еще и расшифровывать надо будет...

[ILaeeeee]

Дополню ответ. Насколько вспомню.

Wireshark нормальный инструмент. Там можно фильтры настроить и всё в удобоваримом виде представлено (не помню чтобы там какая то каша была). В общем, мне понравилось.

А дыра была очень смешная, из-за моей невнимательности, там отладочную информацию нужно было выключить в фреймворке. Хотя это я заметил совсем потом, т.к. просто не обратил внимание когда разбирался в первый раз.

Answer 2

[Дмитрий]

если там приличный современный руткит, фиг вы его так найдете.
Скопрометированный сервер надо выводить из эксплуатации , отключать от сети и разбираться в его кишках. А на его место разворачивается новый. код сайтов заливается заново, с проверенного чистого бэкапа или где оно там хранится, из системы контроля версий.

Comments

[ILaeeeee]

В том плане, что руткит может исходящим подключением активироваться или по хрону?
Меня смущает такой факт, что там сайтов 10, а скрипт только на некоторых появляется.
Ну и сам вредоносный скрипт - является утилитой для хакерских действий: загрузки на сервер, получение информации и т.д. Очень странно, если бы кто-то имел хороший доступ до сервера.

Answer 3

[Валентин]

Навряд ли вас ломанули каким-нибудь топовым руткитом, скорее всего обычный скриптовый вирус. Запретить все исходящие запросы типа new, для необходимого http трафика использовать прокси с логированием (можно даже сделать бесшовную, чтобы в клиентских приложениях ничего не настраивать).

Answer 4

[Максим Корнеев]

посмотрите тут https://www.snort.org/ или https://www.ossec.net/ или аналоги