Если кто-то был на сервере..., guest, 03-Сен-05, 22:04 [смотреть все]Добрый день.Ситуация следующая. Обнаружил, что на сервер кто-то заходил с моей учетной записью. Аккуратненько так, посмотрел сетевый интерфейсы... Не могу понять, как этот кто-то подобрал мой пароль, который состоит не из пяти букв. Вопрос: что необходимо проверить на севрере в плане изменений, и как в дальнейшем можэно предотвартить такие действия. пароль я уже сменил... Спасибо. |
- Если кто-то был на сервере..., Noname, 05:54 , 04-Сен-05 (1)
>Добрый день. > >Ситуация следующая. Обнаружил, что на сервер кто-то заходил с моей учетной записью. >Аккуратненько так, посмотрел сетевый интерфейсы... > >Не могу понять, как этот кто-то подобрал мой пароль, который состоит не >из пяти букв. > >Вопрос: что необходимо проверить на севрере в плане изменений, и как в >дальнейшем можэно предотвартить такие действия. пароль я уже сменил... > >Спасибо. Используя коменду find найдите файлы которые изменялись с момента входа непрошенного гостя и произведите их анализ на наличие suid, прав доступа... Если изменены бинарники, то рекомендую пересобрать их их исходников... если кончено у вас не Solaris... если солярка, то возмите с аналогичной платформы... только аккуратно с библиотеками.. ни в коем случае не трогайте ld.so и аналогичные... MyHomePage - http://surgutnet.ru
- Если кто-то был на сервере..., guest, 15:43 , 04-Сен-05 (2)
Благодарю. Нашел файлы, которые были изменены, но это не бинарники, а программы на Tcl. Находились в директориях /usr/share/doc. whatis назывались. Что-то с памятья делали как я понимаю.Поудалял их, машину перегрузил. Кстати, можно ли как-то наказать того, кто это сделал. IP я знаю, адрес компании которая выдала этот IP также известен.
- Если кто-то был на сервере..., RIPper_wk, 18:06 , 13-Сен-05 (3)
1) смени парольна кракозябры из 8 и более символов 2) не юай пароли от сервака для своей почты и т.п. сервисов 3) хорошо подумай кто это мог быть. и наконец , ты сам сетапил машину ? или от кого-то досталась? Может человек хотел забрать свое имущество . - Если кто-то был на сервере..., antoshkin, 00:11 , 14-Сен-05 (4)
Некоторые дают рутовые или wheel права например юзеру vasya, а потом этим же юзером ходят через интернет по фтп на сервак или по поп3, которые можно подслушать любым снифером и вытащить оттуда пароли. А еще лучше - разрешают руту заходить по ссш и поп3 - вообще песня. Вот тебе и ответ. Ну может не твой случай...
- Если кто-то был на сервере..., kisslong, 05:16 , 14-Сен-05 (5)
в логах подбора видимо, нет? однозначно чел ЗНАЕТ пасс. менять надо чаще. смени пароли юзеров из wheel дополнительно. ещё лучше логин рута смени (потом восстановить всегда можно... если некоторые софтины привязку к нему делают). посмотри, под кем ещё заходил этот чел. оставь ему приглашение на входе пива попить - может, и узнаешь подробности. вполне возможно, что ему отсылаются пассы, логи, итп. проверь мыло.
|