Vesta Control Panel - Forum

skurudo wrote:

Ddd wrote:Сервер поднялся после перезапуска через панель ДЦ. В логах есть такая запись:
fail2ban.filter [398]: ERROR Error in FilterPyinotify callback: 'module' object has no attribute '_strptime_time'

Позвольте поинтересоваться, какая ОС?

Debian 8.2

прошла почти неделя с релиза. расскажите, в чем была проблема безопасности?

в общем, отрыл еще логи баша... довольно интересные наблюдения:
1. по всей видимости работал живой человек. причем, пьяный живой человек. наблюдаются неправильно написанные команды (опечатки), так же всякие ls-ы и забывания сделать файл исполняемым.
2. сначала был загружен скриптец, проверяющий скорость интернета.
3. далее был загружен upd-флудер и проработка им некоторых ip.
4. далее, на сколько я понял, загружен и отработан скрипт по поиску пары админ-пароль (вроде как по словарю) на список айпишек (на сколько я понял, задавалась маска типа "228.166" или просто "89").
5. далее был установлен IRC-сервер (WTF??!) UnrealIRCd, скачанный с офф-сайта.
6. ulimit -n 4096 (быстрым прогугливанием не особо понял, лимит каких ресурсов выставляется и зачем...)
7. рестарты, и повторены первые шаги с меньшей интенсивностью.

После этого всего начал виснуть сервак. Сайты перестают открываться (панель в том числе) (не работает даже DNS-сервер). Пинг идет нормально. По ssh не зайти, даже через VNC хостера, предоставляющего ВДС-ку. Пишутся какие-то ошибки, без курсора. После принудительной перезагрузки у хостера в панели, работает нормально. Происходит такое редко. После взлома второй или третий раз. В период этого "падения" графики ничего не показывают:
процессор:

память (заметен сильный скачок памяти и файла подкачки):

сеть:


Если нужны какие-то подробности, пишите, при следующем происшествии постараюсь запечатлить.
Так же чуть позже скину полный лог баша.

И еще одна проблема -- не знаю, связанная ли с этим взломом. Начал рассылаться спам.

https://мой_сервер:8083/list/server/?mail
Все это дело на 5 000 строк.
Может быть это все происходит из определенного взломанного ящика, например, слабый пароль? Или же внутри сервера что-то сидит? Как можно проследить это дело? И что это вообще, очередь чтоль? И как расшифровывается это дело? ну, помимо ящиков получателей спама.

5. далее был установлен IRC-сервер (WTF??!) UnrealIRCd, скачанный с офф-сайта.

Зайти на канал и спросить совета у товарищей. :)

О!!!
А у меня после взлома одного сайта тоже пошла спам рассылка, обновился до 16 версии - перестала работать
DNS связка master-master средствами VESTA (v-add-remote-dns-host)
Кто-то это использует?

UBUNTU 14.04 (обновилась тоже)

lidner60 wrote:в общем, отрыл еще логи баша... довольно интересные наблюдения:

Может быть это все происходит из определенного взломанного ящика, например, слабый пароль? Или же внутри сервера что-то сидит? Как можно проследить это дело? И что это вообще, очередь чтоль? И как расшифровывается это дело? ну, помимо ящиков получателей спама.

А много сайтов?
Для начала качать бэкапы, разархивировать локально и проверять к примеру касперским
Зачистить бэкдоры и трояны на сайтах

Потом почистить спулер exim
exim - bp (покажет)
exipick -i | xargs exim -Mrm (удалит)

RG22EM wrote:

lidner60 wrote:в общем, отрыл еще логи баша... довольно интересные наблюдения:

Может быть это все происходит из определенного взломанного ящика, например, слабый пароль? Или же внутри сервера что-то сидит? Как можно проследить это дело? И что это вообще, очередь чтоль? И как расшифровывается это дело? ну, помимо ящиков получателей спама.

А много сайтов?
Для начала качать бэкапы, разархивировать локально и проверять к примеру касперским
Зачистить бэкдоры и трояны на сайтах

Потом почистить спулер exim
exim - bp (покажет)
exipick -i | xargs exim -Mrm (удалит)

сайтов с десяток, но они так, для себя, в основном самолично написанные небольшие скрипты. бекдоры и трояны -- очень маловероятно по этой причине.
в почтовых делах не силен, может быть можно как-нить глянуть, с какого ящика оно отсылается, или каким способом, что могло бы натолкнуть на мысль, где косяк? в принципе, на некоторых ящиках пароли очень простые, по любому словарю можно найти, вопрос только в том, что подбирать просто некому. разве что в автоматическом режиме, как брутфорс ssh. Может быть так же ломятся на pop3 или imap (это вообще возможно?) с брутфорсом по словарю логин-пароль. но опять же, учитывая, что немногие серверы настроены на отправку почты, потому, кажется, что так брутфорсеры не делают. Или я не прав?

Скинь лог - exim -bp > log.txt
гляну
ящик ua6em на яндексе

кстати, в самой весте в разделе почты они (отправители есть жеж)
Top 50 sending hosts by volume - к примеру

RG22EM wrote:Скинь лог - exim -bp > log.txt

лог пустой, так как командой из предыдущего Вашего поста я спулер очистил (
за это время ничего не набилось. возможно, это просто висело с времен, когда взломали серв...

lidner60 wrote: После этого всего начал виснуть сервак. Сайты перестают открываться (панель в том числе) (не работает даже DNS-сервер). Пинг идет нормально. По ssh не зайти, даже через VNC хостера, предоставляющего ВДС-ку. Пишутся какие-то ошибки, без курсора. После принудительной перезагрузки у хостера в панели, работает нормально.

вот что пишется у хостера из консоли:



не совсем понимаю... нехватка памяти и убивается эксим? :/