Onderwerp: Nieuw met Iptables en csf --> is deze melding/outgoing een virus of hacked?

Beste alle,

Ik heb gisteren avond CSF/Iptables op mijn (directadmin) vps geïnstalleerd.
Mocht tijd worden.. kwam er achter dat ik al geruime tijd door 1000 verschillende ip's wordt aangevallen.

Omdat hier pas nu achter kom en een beginnende ben op dit gebied vraag ik mij af of ik niet al ergens ben gehacked. Daarom bestudeer ik nu alle logs en heb tig ip's geblocked.

Alleen dit viel mij op in iptables log:
MIJN.IP.ADRES.HIER 42900 out 194.60.207.22 4444 UDP
Firewall: *UDP_OUT Blocked* IN= OUT=eth0 SRC=MIJN.IP.ADRES.HIER DST=194.60.207.22 LEN=182 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=42900 DPT=4444 LEN=162

Als ik het goed lees probeert er dan iets "out" mijn server te gaan.. Dus dat betekend dat er iets binnen zit die naar buiten probeert te praten, toch?
Ondanks dat het nu wordt geblocked door iptables, is dit foute boel?

Je moet je hier niet zoveel zorgen om maken. Ik weet zo niet wat er op poort 4444 draait bij de destination, maar het zou een onschuldig script in een webpagina op je server kunnen zijn die een fopen() doet om informatie op te halen of een API.

Deze informatie is echter te beperkt om er wat mee te doen. Lopen er geen gekke processen op je server (veelal Perl scripts vanuit de /tmp)

Oorspronkelijk geplaatst door Randy

Je moet je hier niet zoveel zorgen om maken. Ik weet zo niet wat er op poort 4444 draait bij de destination, maar het zou een onschuldig script in een webpagina op je server kunnen zijn die een fopen() doet om informatie op te halen of een API.

Deze informatie is echter te beperkt om er wat mee te doen. Lopen er geen gekke processen op je server (veelal Perl scripts vanuit de /tmp)

Ow nee.. Ik heb inderdaad wat API's draaien op mijn website, onder andere targetpay en nog een andere belangrijke api en ideal, maar of ze gebruiken maken van dat ip adres weet ik niet.. Dat ga ik nu uitzoeken, want dat is het belangrijkste van de website..

Gekke processen in mijn /tmp . Ben vrij nieuw rondom Linux. Had ik wellicht in het begin moeten melden, ik heb een Centos 5 met directadmin. Vanuit putty lukt mij de meeste dingen wel.. maar wat normaal is in /tmp of abnormaal kan ik eerlijk gezegd nog niet oordelen. Als nog zal ik een kijkje nemen!

Kijk even in je /tmp ( met ls -a) of je daar verborgen mappen of andere dingen ziet of bijvoorbeeld perl scriptjes.

en beveilig hem daarna, in dit forum staan er howto's over het noexec maken van /tmp

Dat in ieder geval.

Aangezien je CSF gebruikt kun je ook even via de SERVER SECURITY CHECK (via directadmin GUI van csf) zien of je server globaal een beetje veilig is. De meeste punten kun je zo oplossen

Oorspronkelijk geplaatst door ichosting

Kijk even in je /tmp ( met ls -a) of je daar verborgen mappen of andere dingen ziet of bijvoorbeeld perl scriptjes.

Ik heb WinSCP gebruikt om met de "browser" te kijken in de /tmp folder.
Behalve een PEAR map, die ik zelf denk ik daar heb neergezet omdat ik die onlangs heb geïnstalleerd. Zijn er een aantal bestanden zonder extensie.. en hele lange namen, maar een aantal bekeken en zie gelijk dat dat van een drupal site is geweest die ik heb geïnstalleerd! Dus volgens mij is mijn /tmp vrij van rare scripts. Tenzij er mappen/bestanden zijn die ik niet kan zien via WinSCP.

Daarnaast ben nog steeds aan het zoeken naar waar dat ip wordt opgevraagd.
Mijn hele iptables log staat er vol mee, hij komt elke +/- 20 seconde voorbij!
Die wil graag toegang krijgen.. en ik wil graag vinden waar die vandaan komt!
Ik zoek nog even door!

Oorspronkelijk geplaatst door ichosting

Dat in ieder geval.

Aangezien je CSF gebruikt kun je ook even via de SERVER SECURITY CHECK (via directadmin GUI van csf) zien of je server globaal een beetje veilig is. De meeste punten kun je zo oplossen

Ja gedaan.. score was niet echt positief
Kijken of ik die kan oplossen!

Ja default installatie van DA is idd niet meteen door de check heen. Vaak zijn het ook extra dingetjes die je kunt toevoegen aan bijvoorbeeld EXIM om spammers makkelijker te vinden etc.

Je hebt in ieder geval nu een klein beetje een inzicht (niet alles overigens hoor) over wat beter kan

Succes in ieder geval.

Om terug te komen op het eerste punt:
MIJN.IP.ADRES.HIER 42900 out 194.60.207.22 4444 UDP

Dit kan een fopen() zijn die dit doet om informatie op te halen of een API.

Volgens mij is het geen API, heb gecheckt, misschien een fopen() van drupal of dergelijke.. Ik wil alleen weten waar die wordt aangeroepen de hele tijd..

Het is een nagios check zo te zien. Resultaat op het IP is nagios.xl-is.net

Oorspronkelijk geplaatst door ichosting

Ja default installatie van DA is idd niet meteen door de check heen. Vaak zijn het ook extra dingetjes die je kunt toevoegen aan bijvoorbeeld EXIM om spammers makkelijker te vinden etc.

Je hebt in ieder geval nu een klein beetje een inzicht (niet alles overigens hoor) over wat beter kan

Succes in ieder geval.

Ja dat is inderdaad erg fijn, ik snap niet dat ze dit standaard in DA hebben.. Het lijkt mij vrij belangrijk! maar het is erg fijn dat ik nu een beetje inzicht heb wat er allemaal speelt. Nu nog de rest dicht timmeren!

Oorspronkelijk geplaatst door ichosting

Het is een nagios check zo te zien. Resultaat op het IP is nagios.xl-is.net

Ja daar kwam ik na google ook achter..
Nagios, kan mij niet echt herinneren dat ik dat op mijn server heb..
Misschien een standaard?

pff wel blij dat het niet iets anders is een pak van mijn hart!

Oorspronkelijk geplaatst door Acceler

en beveilig hem daarna, in dit forum staan er howto's over het noexec maken van /tmp

Voeg daar dan ook even nosuid aan toe als je toch aan typen bent .

Kan zijn dat je vps extern gemonitoord wordt en dit een reply van je server is op een verzoek van nagios. Heb je een idee wat er op poort 4444 draait?