EOMY.NET
Хостинг EOMY.NET: Форум поддержки
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
RSS Feed  

This service is currently suspended.

 
Начать новую тему   Ответить на тему    Список форумов EOMY.NET -> Сервис VPS от EOMY.NET
This service is currently suspended.
Автор Сообщение
angrybambr



Зарегистрирован: 31.07.2013
Сообщения: 4

642 Монеты

СообщениеДобавлено: Пн, 26 Май, 2014 10:45    Заголовок сообщения: This service is currently suspended. Ответить с цитатой

Добрый день. На сервере 162.211.227.23 ранее была установлена zpanel версии 10.1
всё работало прекрасно.. чёрт меня дёрнул обновить zpanel до версии 10.1.1

Теперь Kiwi отрубает сервер по причине:

This service is currently suspended. There is 1 outstanding issue:
More details: We have detected hacking activity on this server
Additional information:
Код:

KiwiVM has detected the following process on this server:
[auditd] /tmp/auditd -B -c /tmp/.ICE-unixx

This process is a malware binary installed on the server with the sole purpose to perform abuse (DoS attacks, spamming, etc).
Seems like this server has been compromised and therefore it has been suspended to prevent further damage.

**********************************************
List of processes
**********************************************
1287       init             init
1288       kthreadd/4379   
1289       khelper/4379     
1636       udevd            /sbin/udevd -d
2638       rsyslogd         /sbin/rsyslogd -i /var/run/syslogd.pid -c 5
2809       named            /usr/sbin/named -u named
2856       sshd             /usr/sbin/sshd
2919       xinetd           xinetd -stayalive -pidfile /var/run/xinetd.pid
3027       mysqld_safe      /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql --socket=/var/lib/mysql/mysql.sock --pid-file=/var/run/mysqld/mysqld.pid --basedir=/usr --user=mysql
3175       mysqld           /usr/libexec/mysqld --basedir=/usr --datadir=/var/lib/mysql --user=mysql --log-error=/var/log/mysqld.log --pid-file=/var/run/mysqld/mysqld.pid --socket=/var/lib/mysql/mysql.sock
3490       dovecot          /usr/sbin/dovecot
3507       anvil            dovecot/anvil
3508       log              dovecot/log
3636       saslauthd        /usr/sbin/saslauthd -m /var/run/saslauthd -a pam -n 2
3637       saslauthd        /usr/sbin/saslauthd -m /var/run/saslauthd -a pam -n 2
3952       master           /usr/libexec/postfix/master
3974       qmgr             qmgr -l -t fifo -u
4699       proftpd          proftpd: (accepting connections)
4844       httpd            /usr/sbin/httpd
4865       crond            crond
4880       atd              /usr/sbin/atd
4890       mingetty         /sbin/mingetty console
4907       mingetty         /sbin/mingetty tty2
119268     httpd            /usr/sbin/httpd
120335     httpd            /usr/sbin/httpd
277460     pickup           pickup -l -t fifo -u -o content_filter= -o receive_override_options=no_header_body_checks
365668     anvil            anvil -l -t unix -u
374931     sh               
375096     auditd           /tmp/auditd -B -c /tmp/.ICE-unixx
520918     httpd            /usr/sbin/httpd
682262     httpd            /usr/sbin/httpd
773629     httpd            /usr/sbin/httpd


**********************************************
Conntrack table (8 lines)
**********************************************
ipv4     2 tcp      6 116 TIME_WAIT src=162.211.227.23 dst=195.58.165.20 sport=41656 dport=80 src=195.58.165.20 dst=162.211.227.23 sport=80 dport=41656 [ASSURED] mark=0 secmark=0 use=2
ipv4     2 tcp      6 43195 ESTABLISHED src=5.200.10.210 dst=162.211.227.23 sport=35245 dport=80 src=162.211.227.23 dst=5.200.10.210 sport=80 dport=35245 [ASSURED] mark=0 secmark=0 use=2
ipv4     2 udp      17 177 src=162.211.227.23 dst=8.8.8.8 sport=40348 dport=53 src=8.8.8.8 dst=162.211.227.23 sport=53 dport=40348 [ASSURED] mark=0 secmark=0 use=2
ipv4     2 tcp      6 72 TIME_WAIT src=66.249.65.197 dst=162.211.227.23 sport=65255 dport=80 src=162.211.227.23 dst=66.249.65.197 sport=80 dport=65255 [ASSURED] mark=0 secmark=0 use=2
ipv4     2 tcp      6 67 TIME_WAIT src=66.249.65.184 dst=162.211.227.23 sport=47667 dport=80 src=162.211.227.23 dst=66.249.65.184 sport=80 dport=47667 [ASSURED] mark=0 secmark=0 use=2
ipv4     2 tcp      6 117 TIME_WAIT src=162.211.227.23 dst=195.58.165.20 sport=41693 dport=80 src=195.58.165.20 dst=162.211.227.23 sport=80 dport=41693 [ASSURED] mark=0 secmark=0 use=2
ipv4     2 tcp      6 115 TIME_WAIT src=5.200.10.210 dst=162.211.227.23 sport=35243 dport=80 src=162.211.227.23 dst=5.200.10.210 sport=80 dport=35243 [ASSURED] mark=0 secmark=0 use=2
ipv4     2 tcp      6 43197 ESTABLISHED src=162.211.227.23 dst=198.15.127.246 sport=45232 dport=80 src=198.15.127.246 dst=162.211.227.23 sport=80 dport=45232 [ASSURED] mark=0 secmark=0 use=2


Собственно, запуск принудительный сервера не помогает.. через какое-то время киви опять его вырубает с этой же причиной.

Как сделать даунгрейд до предыдущей версии zpanel я не знаю(
Да и если забэкапить все данные и переустановить ось на сервере - всё-равно предыдущую версию zpanel уже не поставить..

Можно ли в Киви добавить этот процесс в исключения?

Я нуб в этих делах.. подскажите, как лучше поступить?

Спасибо
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 4429

120354 Монеты

СообщениеДобавлено: Пн, 26 Май, 2014 11:02    Заголовок сообщения: Ответить с цитатой

Судя по предоставленному логу contrack, сервер участвует в DDoS атаке.

Судя по процессу /tmp/auditd -B -c /tmp/.ICE-unixx -- эксплуатировалась массовая уязвимость ZPANEL .

Пишите в поддержку (http://eomy.net/contact/) и сообщите, что вы намерены предпринять для решения проблемы. Исходящие DDoS атаки это очень серьёзная проблема, которая чревата отключением всего оборудования.

Лучше всего бэкапить файлы и БД и переустанавливать ОС (если у вас нет навыков, позволяющих вычистить сервер самостоятельно).
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
angrybambr



Зарегистрирован: 31.07.2013
Сообщения: 4

642 Монеты

СообщениеДобавлено: Пн, 26 Май, 2014 11:08    Заголовок сообщения: Ответить с цитатой

Забэкапить файлы и переустановить ОС у меня знаний хватит. Возникает вопрос, что установить в альтернативу Zpanel, если у него такая беда с секьюрити? Хотя, как я уже немного проштудировал форум Zpanel, как раз последняя версия 10,1,1 , до которой я обновился - решает эту проблему..

Может быть дадите совет, что можно поставить взамен zpanel? наворотов не надо..

apache
mysql
ftp
pop/smtp
dns manager
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
lazutov
while (1==1);
Последний герой


Зарегистрирован: 30.04.2007
Сообщения: 4429

120354 Монеты

СообщениеДобавлено: Пн, 26 Май, 2014 11:14    Заголовок сообщения: Ответить с цитатой

Давайте разберёмся.
С моей колокольни всё выглядит так:
-- через дырку в Zpanel сервер взломали*.
-- обновлением вы эту дырку закрыли.
-- ваша задача вычистить то, что через эту дырку пролезло.

Переустановкой вы решаете самую последнюю проблему.

В данной ситуации я бы сделал переустановку и ДОПОЛНИТЕЛЬНО бы скрыл любые проявления Zpanel обычной http-авторизацией.


*) а может и не через конкретно эту дырку, может просто через дырки в используемых скриптах
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов EOMY.NET -> Сервис VPS от EOMY.NET Часовой пояс: GMT
Страница 1 из 1

 


Rambler's Top100   Рейтинг@Mail.ru    



Powered by phpBB © 2001, 2005 phpBB Group