ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Вирус в бинарнике nginx


  • To: nginx-ru@xxxxxxxxx
  • Subject: Вирус в бинарнике nginx
  • From: "wastemaster" <nginx-forum@xxxxxxxx>
  • Date: Tue, 03 Dec 2013 09:56:20 -0500
  • Dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=helium.jlkhosting.com; s=x; h=Date:Sender:From:Message-ID:Content-Transfer-Encoding:Content-Type:Subject:To; bh=kz795i2XSfYq1GA0LoPvSiKIRPOo4aQPNh9X9iyulzU=; b=FQpWsPpHVEoPg9hzJpn13Ye1fqWPLGpTkjpcRVQabGuyO0YXpd2jrTEXBe0yrSm6HxcaHK/SwCZHsgDBBy4MtZgKyEfZbgvG6ait6XFVMvnelM1HveX7gP2S4e01aPQFlPrbe50jGxr+zRdkigcYJou5DEMAphsVHrf9XkwTddw=;

os: Linux version 2.6.32-042stab021.1 (root@rh6-build-x64) (gcc version
4.4.4 20100726 (Red Hat 4.4.4-13) (GCC) ) #1 SMP Thu Jul 14 18:02:30 MSD
2011
nginx: 1.4.4-1~squeeze               

комплектность: 
root@server:/var/cache/apt/archives# nginx -V
nginx version: nginx/1.4.4
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx
--conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log
--http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid
--lock-path=/var/run/nginx.lock
--http-client-body-temp-path=/var/cache/nginx/client_temp
--http-proxy-temp-path=/var/cache/nginx/proxy_temp
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp
--http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx
--with-http_ssl_module --with-http_realip_module --with-http_addition_module
--with-http_sub_module --with-http_dav_module --with-http_flv_module
--with-http_mp4_module --with-http_gunzip_module
--with-http_gzip_static_module --with-http_random_index_module
--with-http_secure_link_module --with-http_stub_status_module --with-mail
--with-mail_ssl_module --with-file-aio --with-cc-opt='-g -O2
-Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt=-Wl,--as-needed --with-ipv6


nginx генерит перенаправления выборочно некоторых посетителей.
в логах эти редиректы не отражаются. 
в целом ситуация очень похожа на описанную товарищами из eset
http://habrahabr.ru/company/eset/blog/179115/

конечно есть еще вариант, что дело в наших скриптах, но мы их все проверили
а потом и вовсе исключили этот вариант, когда увидели редирект с урла со
статикой - те вместо того, чтобы отдать статический контент  - nginx генерит
302 редирект.

с той разницей, что тулзами приведенными в той статье проблема не
детектируется.

все что смогли придумать - это снести всю операционнку. И вот пока ждем
замену по хостингу хочется выяснить все-таки как это безобразие к нам
проникло.

Сейчас активность вируса можно только фильтруюя трафик на интерфейсе через
tcpdump на предмет 302 редиректов. 
Фильтруем в реальном времени - как только видим редирект - останавливаем
nginx и переустанавливаем - запускаем заного.

После этого проблема с редиректом пропадает на несколько часов, потом опять
появляются редиректы уже на другой домен.

nginx ставим отсюда

deb http://nginx.org/packages/debian/ squeeze nginx
deb-src http://nginx.org/packages/debian/ squeeze nginx

apt-get install --reinstall nginx

Проверяли в /var/cache/apt/archives  лежит оригинальный пакет  nginx
чексумма совпадает, чексумма по бинарнику на диске тоже совпадает с
оригинальной.

Те либо вражеская штука его перезапускает, либо видоизменяет прямо в памяти
(если конечно такое возможно)

наружу у нас торчит mysql, postgres, nginx и все(
Вариант с подбором пароля - маловерятный - пароли серьезные, в логах
посторонней активности не замечено.

Буду рад любым советам - может кто сталкивался. Как можно отсечь этой штуке
пути отступления?

Posted at Nginx Forum: 
http://forum.nginx.org/read.php?21,245164,245164#msg-245164

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.