Шпаргалки админа

Вот собственно столкнулся я с проникновением на мой сервер. расскажу что и как было.
утро
По началу счётчик моей страницы зашкаливал за 50 000 хитов, когда обычно было от 10 000 до 20 000.
Сразу заглянул в лог апача, ничего плохого не заметил, поехал на работу… на рабоче много читал про DDoS понял, что бороться смысла нет. собсвенно и забил.. чуть позже решил проверить логи других демонов. и был в шоке как обнаружил что с 23го марта кто-то постоянно ломился в мой шел, тут я ещё раз вспомнил что всех юзеров, что я создавал в системе я создавал по всем правилам, тоесть кому не надо отбирал шел и пароле использовал генеренные.
Вижу в логах как бессмыслено подбирают пароль к различным юзерам, apache mysql ftp root support djohn. И тут виже удачный логин для пользователя support
Далее выкладываю лог действия

Mar 23 04:30:35 krasbid sshd[18290]: reverse mapping checking getaddrinfo for 79-118-206-123.rdsnet.ro [79.118.206.123] failed – POSSIBLE BREAK-IN ATTEMPT!
Mar 23 04:30:37 krasbid sshd[18290]: Accepted password for support from 79.118.206.123 port 2859 ssh2
Mar 23 04:30:37 krasbid sshd[18292]: pam_unix(ssh:session): session opened for user support by (uid=0)
Mar 23 04:31:49 krasbid passwd[18339]: pam_unix(passwd:chauthtok): password changed for support
Mar 23 04:32:47 krasbid useradd[18365]: new user: name=system, UID=0, GID=0, home=/home/system, shell=/bin/sh
Mar 23 04:32:53 krasbid passwd[18366]: pam_unix(passwd:chauthtok): password changed for system
Mar 23 04:33:02 krasbid sshd[18367]: reverse mapping checking getaddrinfo for 79-118-206-123.rdsnet.ro [79.118.206.123] failed – POSSIBLE BREAK-IN ATTEMPT!
Mar 23 04:33:04 krasbid sshd[18367]: Accepted password for system from 79.118.206.123 port 2862 ssh2
Mar 23 04:33:04 krasbid sshd[18370]: pam_unix(ssh:session): session opened for user system by system(uid=0)
Mar 23 04:41:38 krasbid sshd[18367]: syslogin_perform_logout: logout() returned an error

Главный момент это успешный логин, я начал вспомниать когда и как создавался юзер суппорт, и тут всплыли подробности, что в тот момент я настраивал почтовый сервер и долго не мог добиться отправления писем, я пытался и права суппорту дать повыше и другие необдуманные действия, так у меня получился юзер в групе рута с паролем 123123 (тут подумайте ещё раз и не повторяйте таких ошибок)
Собсвенно как видим попутно создался юзер system
Первые его поиски в файле passwd не увенчались успехом.
тут пришло на ум самое страшное, руткит
Поставил 2 сканера и один из них выдал мне чудо

# chkrootkit -q

The following suspicious files and directories were found:
/usr/lib/firefox/.autoreg
/lib/modules/2.6.22-14-generic/volatile/.mounted

/usr/lib/security
/usr/lib/security/classpath.security
eth0: PACKET SNIFFER(/usr/local/games/.play/echo[18415])

Последняя строчка бурно заинтересовала.
в каталоге /usr/local/games/.play/ лежало 3 файла
echo mig и текстовый лог.
Файлы сами выложу чть позже. но почитав содержимое бинарников, я немного успокоился.
Насколько я понял это был сниффер который модифицировал траффик.
В бинарниках юыл замечен hltml, который накручивал рекламу на определённом сайте.
тоесть это обычный бот который ломится в шел попадая делает вот это, значит не человек.

далее я немного изменил настройки безопасности. сделал что-то вроде смены порта демону шела.
Ограничил доступ по ипам убил сниффера, убил юзера из под которого он работал, сменил пароли,

пошёл дальше читать маны.

Сегодня ваяю скрипт который бы при успешной авториции по ssh слал бы мне смс мол кто-то там есть..
и много думаю…