Welcome! Log In Create A New Profile

Advanced

Вирус в бинарнике nginx

December 03, 2013 09:56AM
os: Linux version 2.6.32-042stab021.1 (root@rh6-build-x64) (gcc version 4.4.4 20100726 (Red Hat 4.4.4-13) (GCC) ) #1 SMP Thu Jul 14 18:02:30 MSD 2011
nginx: 1.4.4-1~squeeze

комплектность:
root@server:/var/cache/apt/archives# nginx -V
nginx version: nginx/1.4.4
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-mail --with-mail_ssl_module --with-file-aio --with-cc-opt='-g -O2 -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt=-Wl,--as-needed --with-ipv6


nginx генерит перенаправления выборочно некоторых посетителей.
в логах эти редиректы не отражаются.
в целом ситуация очень похожа на описанную товарищами из eset http://habrahabr.ru/company/eset/blog/179115/

конечно есть еще вариант, что дело в наших скриптах, но мы их все проверили а потом и вовсе исключили этот вариант, когда увидели редирект с урла со статикой - те вместо того, чтобы отдать статический контент - nginx генерит 302 редирект.

с той разницей, что тулзами приведенными в той статье проблема не детектируется.

все что смогли придумать - это снести всю операционнку. И вот пока ждем замену по хостингу хочется выяснить все-таки как это безобразие к нам проникло.

Сейчас активность вируса можно только фильтруюя трафик на интерфейсе через tcpdump на предмет 302 редиректов.
Фильтруем в реальном времени - как только видим редирект - останавливаем nginx и переустанавливаем - запускаем заного.

После этого проблема с редиректом пропадает на несколько часов, потом опять появляются редиректы уже на другой домен.

nginx ставим отсюда

deb http://nginx.org/packages/debian/ squeeze nginx
deb-src http://nginx.org/packages/debian/ squeeze nginx

apt-get install --reinstall nginx

Проверяли в /var/cache/apt/archives лежит оригинальный пакет nginx чексумма совпадает, чексумма по бинарнику на диске тоже совпадает с оригинальной.

Те либо вражеская штука его перезапускает, либо видоизменяет прямо в памяти (если конечно такое возможно)

наружу у нас торчит mysql, postgres, nginx и все(
Вариант с подбором пароля - маловерятный - пароли серьезные, в логах посторонней активности не замечено.

Буду рад любым советам - может кто сталкивался. Как можно отсечь этой штуке пути отступления?
Subject Author Posted

Вирус в бинарнике nginx

wastemaster December 03, 2013 09:56AM

Re: Вирус в бинарнике nginx

Михаил Монашёв December 03, 2013 11:00AM

Re: Вирус в бинарнике nginx

Maxim Dounin December 03, 2013 11:02AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 87
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready