forum.opennet.ru - "Взлом сервера" (15)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Взлом сервера"

Форум Открытые системы на сервере (Разное / Другая система)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Взлом сервера"	+/–
Сообщение от isvd (ok) on 06-Ноя-13, 18:24
Всем привет. Обращаюсь к гуру. Есть факт взлома сервера. Человек показал список файлов и каталогов /home и cat /etc/passwd. Как он это сделал подсказывать не соберееаться сказал что сделал чисто в показательном варианте. Сервер ubuntu 12.04 находиться за шлюзом freeBsd 9.1. Насколько я понял он увел каким то образом рут пароль. Возможно по поставил rootkit. предпринял действия поменял пароли и сразу же поставил и запустил chkrootkit и rkhunter. rkhunter вроде все чисто кроме. это я так понимаю сильно много прав для этих файлов. это было из за того что один из админов chmod нул неправльно etc когда то. а так вроде чисто /bin/dmesg [ Warning ] [09:21:04] Warning: Write permission is set on file '/bin/dmesg' for all users. [09:21:04] /bin/echo [ OK ] [09:21:04] /bin/ed [ Warning ] [09:21:04] Warning: Write permission is set on file '/bin/ed' for all users. [09:21:04] /bin/egrep [ Warning ] [09:21:04] Warning: Write permission is set on file '/bin/egrep' for all users. [09:21:04] Info: Found file '/bin/egrep': it is whitelisted for the 'script replacement' check. [09:21:04] /bin/fgrep [ Warning ] [09:21:04] Warning: Write permission is set on file '/bin/fgrep' for all users. [09:21:04] Info: Found file '/bin/fgrep': it is whitelisted for the 'script replacement' check. [09:21:04] /bin/fuser [ Warning ] [09:21:04] Warning: Write permission is set on file '/bin/fuser' for all users. [09:21:04] /bin/grep [ Warning ] [09:21:04] Warning: Write permission is set on file '/bin/grep' for all users. [09:21:04] /bin/ip [ Warning ] [09:21:04] Warning: Write permission is set on file '/bin/ip' for all users. [09:21:05] /bin/kill [ Warning ] [09:21:05] Warning: Write permission is set on file '/bin/kill' for all users. [09:21:05] /bin/less [ Warning ] [09:21:05] Warning: Write permission is set on file '/bin/less' for all users. [09:21:05] /bin/login [ Warning ] [09:21:05] Warning: Write permission is set on file '/bin/login' for all users. [09:21:05] /bin/ls [ OK ] [09:21:05] /bin/lsmod [ Warning ] [09:21:05] Warning: Write permission is set on file '/bin/lsmod' for all users. [09:21:05] /bin/mktemp [ OK ] [09:21:05] /bin/more [ Warning ] [09:21:05] Warning: Write permission is set on file '/bin/more' for all users. [09:21:05] /bin/mount [ Warning ] [09:21:05] Warning: Write permission is set on file '/bin/mount' for all users. [09:21:05] /bin/mv [ OK ] [09:21:06] /bin/netstat [ Warning ] [09:21:06] Warning: Write permission is set on file '/bin/netstat' for all users. [09:21:06] /bin/ps [ Warning ] [09:21:06] Warning: Write permission is set on file '/bin/ps' for all users. [09:21:06] /bin/pwd [ OK ] [09:21:06] /bin/readlink [ OK ] [09:21:06] /bin/sed [ Warning ] [09:21:06] Warning: Write permission is set on file '/bin/sed' for all users. [09:21:06] /bin/sh [ OK ] [09:21:06] /bin/su [ Warning ] [09:21:06] Warning: Write permission is set on file '/bin/su' for all users. [09:21:07] /bin/touch [ OK ] [09:21:07] /bin/uname [ OK ] [09:21:07] /bin/which [ Warning ] [09:21:07] Warning: Write permission is set on file '/bin/which' for all users. [09:21:07] Info: Found file '/bin/which': it is whitelisted for the 'script replacement' check. [09:21:07] /bin/dash [ Warning ] [09:21:07] Warning: Write permission is set on file '/bin/dash' for all users. Насколько я понял был слабый пароль на рута но разве 7 латинских букв (не слово). Так легко подобрать. за 10 мин. И прямого доступа к серверу без прохождения gw не было. Не могу понять как он это сделал. Посоветуйте какие еще действия предпринять. На данный момент все закрыл фаерволом. И снаружи только порт ssh с определенных ip 80 порт для web и 1723 для vpn. пароли везде сменил. Перед этими изменениями я просто поменял пароли рутовский а он все равно смог добраться как то. после этого включил фаер признаюсь надо было раньше, и он также сейчас изнутри тоже открыто только то что нужно www для пользователей и там пару портов нужных. Может принципе и хватит. Внутри тревога и паника.
Ответить \| Правка \| Cообщить модератору

Оглавление

Взлом сервера, pavel_simple, 18:29 , 06-Ноя-13, (1)

Взлом сервера, Pahanivo, 19:03 , 06-Ноя-13, (2)

Взлом сервера, pavel_simple, 19:16 , 06-Ноя-13, (4)

Взлом сервера, lavr, 19:12 , 06-Ноя-13, (3)
Взлом сервера, name, 19:37 , 06-Ноя-13, (5)
Взлом сервера, qwek, 00:48 , 07-Ноя-13, (6)
Взлом сервера, parad, 16:03 , 07-Ноя-13, (7)

Взлом сервера, ALex_hha, 12:22 , 09-Ноя-13, (9)

Взлом сервера, pavlinux, 03:05 , 08-Ноя-13, (8)

Взлом сервера, LSTemp, 22:14 , 12-Ноя-13, (10)

Взлом сервера, LSTemp, 22:51 , 12-Ноя-13, (11)

Взлом сервера, parad, 16:39 , 13-Ноя-13, (12) –1

Взлом сервера, LSTemp, 22:55 , 16-Ноя-13, (13)

Взлом сервера, parad, 04:14 , 18-Ноя-13, (14)

Взлом сервера, LSTemp, 00:15 , 20-Ноя-13, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "Взлом сервера" +/–

Сообщение от pavel_simple (ok) on 06-Ноя-13, 18:29

>[оверквотинг удален]
> И прямого доступа к серверу без прохождения gw не было. Не могу
> понять как он это сделал.
> Посоветуйте какие еще действия предпринять. На данный момент все закрыл фаерволом. И
> снаружи только порт ssh с определенных ip 80 порт для web
> и 1723 для vpn. пароли везде сменил. Перед этими изменениями я
> просто поменял пароли рутовский а он все равно смог добраться как
> то. после этого включил фаер признаюсь надо было раньше, и он
> также сейчас изнутри тоже открыто только то что нужно www для
> пользователей и там пару портов нужных.
> Может принципе и хватит.   Внутри тревога и паника.
ёбaннЬ|й стыд
систему в мусорное ведро и ставить по новой

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Взлом сервера" +/–

Сообщение от Pahanivo (ok) on 06-Ноя-13, 19:03

> ёбaннЬ|й стыд
> систему в мусорное ведро и ставить по новой
да тут не систему - тут админов за дверь ))
1) если сервак за фаером - о каком тогда руте вообще речь? о каком подборе? если 22 открыт - ну ты понял, да? ...
2) тут скорей всего [веб-сервис на опенсорсе не патченый давным давно и открытый всем, да еще полюбе запущенный из под рута чтобы не заморачиваться и не думать] + [жопорукость конкретных людей]

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Взлом сервера" +/–

Сообщение от pavel_simple (ok) on 06-Ноя-13, 19:16

>> ёбaннЬ|й стыд
>> систему в мусорное ведро и ставить по новой
> да тут не систему - тут админов за дверь ))
> 1) если сервак за фаером - о каком тогда руте вообще речь?
> о каком подборе? если 22 открыт - ну ты понял, да?
> ...
> 2) тут скорей всего [веб-сервис на опенсорсе не патченый давным давно и
> открытый всем, да еще полюбе запущенный из под рута чтобы не
> заморачиваться и не думать] + [жопорукость конкретных людей]
дык там половина всех бинарей с правами на запись -> это гарантированый рут
да -- проломать легче всего через 80 с кривыми cgi-bin/php/тд

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Взлом сервера" +/–

Сообщение от lavr on 06-Ноя-13, 19:12

> Всем привет. Обращаюсь к гуру. Есть факт взлома сервера. Человек показал список
> файлов и каталогов /home и cat /etc/passwd. Как он это сделал
> подсказывать не соберееаться сказал что сделал чисто в показательном варианте. Сервер
> ubuntu 12.04 находиться за шлюзом freeBsd 9.1. Насколько я понял он
> увел каким то образом рут пароль. Возможно по поставил rootkit.
...
> Может принципе и хватит.   Внутри тревога и паника.
Вам показали /etc/passwd или shadow?
получить список файлов и директорий - факт не из приятных, но ничего особенного,
как и содержимое /etc/passwd, в котором ничего секретного нет в отличие от shadow.
ps. если не умеете искать и отлавливать взломы или в чем-то неуверены - обязательная
переустановка системы, смена системных паролей и при последующей настройке нужных
Вам сервисов - подойти к настройке с точки зрения безопасности, возможно Вы не
позаботились о секьюрити некоторых сервисов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Взлом сервера" +/–

Сообщение от name (??) on 06-Ноя-13, 19:37

>  пароли везде сменил. Перед этими изменениями я
> просто поменял пароли рутовский а он все равно смог добраться
ага, а новые пароли лежат теперь где-нибудь в /usr/src/linux-headers-3.2.0-56/include/acpi/atom.h

> Может принципе и хватит.   Внутри тревога и паника.
нет не хватит
когда нужно немного обезопасить рабочий сервер, который нельзя выключать, временно используют переустановку всех пакетов и сверку подписей, но все равно потом полностью переустанавливают ось
что-то типа такого
http://blog.rimuhosting.com/2011/10/12/checking-a-potentiall.../

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Взлом сервера" +/–

Сообщение от qwek (ok) on 07-Ноя-13, 00:48

> это было из за того что один из админов chmod нул неправльно
> etc когда то.
Переустановите систему, желательно сменить OS. Берите крайнюю, стабильную версию любого другого дистрибутива Linux. На всё про всё уйдет максимум 3-4 часа. За ночь справитесь, когда-то подобным образом переустановил за ночь 6 серверов с FreeBSD и не по факту взлома, а лишь из-за подозрения на таковой.
Не надо что-то искать во вскрытой системе - удалите её к Бененой маме с HDD.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Взлом сервера" +/–

Сообщение от parad (ok) on 07-Ноя-13, 16:03

дело не в пароле. тебя натянули как-то иначе. врятли человек будет общещять взломать перебором пароля к руту и выполнять свое обещание за 10минут( долбоебов логинищихся рутом слишком мало, чтоб кидаться такими обещниями - да про тебя ).
вариант - либо эксплуатация уязвимости через через установленное по, либо через открытый выбшелл. такие сайты легко ищуться запросами к гуглу.
возможный выполненный сценарий:
- чел через гугл находит твой сайт с дырой.
- видит возможность выполнения произвольной команды зерез веб, но подняться до рута не может.
- видит права на запись в /etc для всех, фиксит скрипты.
- ждет когда ты соизволишь ребутнуть сервак или просто что-либо перезапустишь.
- не дожидается - подначевает тебя на форуме или в чате, демонстрируя якобы хак.
- ты бегом ломишься все ребутать, перезапускать.
- он тебя имеет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Взлом сервера" +/–

Сообщение от ALex_hha (ok) on 09-Ноя-13, 12:22

> долбоебов логинищихся рутом слишком мало, чтоб кидаться такими обещниями - да про тебя ).
с этого места по подробней. И что же хакеру дает возможность логиниться под рутом? :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Взлом сервера" +/–

Сообщение от pavlinux (ok) on 08-Ноя-13, 03:05

> Посоветуйте какие еще действия предпринять.
dd if=/dev/zero of=/dev/sda; echo "Я тибя имел, гадкий ][@цкEр!!!";echo b > /proc/sysrq-trigger;

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Взлом сервера" +/–

Сообщение от LSTemp (ok) on 12-Ноя-13, 22:14

>> Посоветуйте какие еще действия предпринять.
> dd if=/dev/zero of=/dev/sda; echo "Я тибя имел, гадкий ][@цкEр!!!";echo b > /proc/sysrq-trigger;
Радикально)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Взлом сервера" +/–

Сообщение от LSTemp (ok) on 12-Ноя-13, 22:51

1) кто сказал и как обрисовал факт взлома?
2) права на запись в файлы часто используемых бинарников - явная уязвимость. но нет подтверждения, что это было сделано именно этим человеком. возможно этот косяк был сделан предыдущим администратором или тобой.
3)в логах что? их конечно тоже могут поправить если рута получили, но не посмотреть на них в любом случае просто глупо.
4)чтение /home и /etc/passwd открыто для любого пользователя
Итого:
1) у тебя установлены права записи в бинарные файлы - явная уязвимость. проверь, кто владелец этих файлов и кому разрешена запись в них. если только руту - то варианта 2-а: либо рута хакнули, либо это косяк реального рута (тебя/кого-то_еще) по смене прав на доступ к этим файлам. как минимум - переустановка пакетов, содержаших скомпрометированные бинарники.
2)ничего, что может обычный пользователь видеть тебе этот "взломщик" не показал - тут особого повода для беспокойства я не вижу
3) Изучение логов - особенно авторизации (кто когда подключался, тем более речь с твоих слов идет о 10-ти минутах).
4) Проверка и настройка всех сервисов на безопасность (в первую очередь web)
5) периодический дамп важных данных и сидим нервно курим пока все не рухнет ), после переустанавливаем систему (я бы на виртуалке уже сейчас этим озаботился, чтобы потом, если жареный петух клюнет, то быстрее все прошло)
PS
ничего, что указывало бы на реальный взлом (логи, трафик) я пока не вижу. все мои советы данные выше исходят из этого. ждем новостей.
PSS
физический доступ к серверу есть у кого? пароль на загрузчик установлен?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Взлом сервера" –1 +/–

Сообщение от parad (ok) on 13-Ноя-13, 16:39

че за бред?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Взлом сервера" +/–

Сообщение от LSTemp (ok) on 16-Ноя-13, 22:55

> че за бред?
и в чем бред?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Взлом сервера" +/–

Сообщение от parad (ok) on 18-Ноя-13, 04:14

система скомпромитирована. с правами на запись кем-либо куда-либо человеку показали возможность выполнения команд. глупо полагать что атакующий не воспользовался предоставленными возможностями. ну и бред - советовать анализировать тогда, когда нужно все переставлять.
ну и чуток - дампы тоже можно компраметировать( или тупо портить ) когда есть доступ к целевой системе, - тогда когда придет время они будут бесполезны.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Взлом сервера" +/–

Сообщение от LSTemp (ok) on 20-Ноя-13, 00:15

> система скомпромитирована. с правами на запись кем-либо куда-либо человеку показали возможность
> выполнения команд. глупо полагать что атакующий не воспользовался предоставленными
> возможностями.
Вы вообще читаете прежде чем писать? В моем посте явно сказано "как минимум переустановка пакетов"
> ну и бред - советовать анализировать тогда, когда нужно все переставлять.
Правильно - давайте не будем пытаться разобраться откуда у проблемы ноги растут - чтобы в следующий раз точно так же налететь.
> ну и чуток - дампы тоже можно компраметировать( или тупо портить )
> когда есть доступ к целевой системе, - тогда когда придет время
> они будут бесполезны.
Что дампы и логи могут быть скомпрометированн я тоже писал.
Однако это не повод, чтобы не делать резервные копии данных или не иметь копию логов на удаленном сервере (благо все сислоги преррасно это умеют). Иначе, "когда придет время", Вы 100% будете с пустыми руками, а не с _возможно_ (еще и поэтому надо изучать что произошло) скомпрометированными данными, от которых хотя бы оттолкнуться можно при восстановлении работоспособности системы.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Взлом сервера"	+/–
Сообщение от pavel_simple (ok) on 06-Ноя-13, 18:29
>[оверквотинг удален] > И прямого доступа к серверу без прохождения gw не было. Не могу > понять как он это сделал. > Посоветуйте какие еще действия предпринять. На данный момент все закрыл фаерволом. И > снаружи только порт ssh с определенных ip 80 порт для web > и 1723 для vpn. пароли везде сменил. Перед этими изменениями я > просто поменял пароли рутовский а он все равно смог добраться как > то. после этого включил фаер признаюсь надо было раньше, и он > также сейчас изнутри тоже открыто только то что нужно www для > пользователей и там пару портов нужных. > Может принципе и хватит. Внутри тревога и паника. ёбaннЬ\|й стыд систему в мусорное ведро и ставить по новой
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Взлом сервера"	+/–
	Сообщение от Pahanivo (ok) on 06-Ноя-13, 19:03
	> ёбaннЬ\|й стыд > систему в мусорное ведро и ставить по новой да тут не систему - тут админов за дверь )) 1) если сервак за фаером - о каком тогда руте вообще речь? о каком подборе? если 22 открыт - ну ты понял, да? ... 2) тут скорей всего [веб-сервис на опенсорсе не патченый давным давно и открытый всем, да еще полюбе запущенный из под рута чтобы не заморачиваться и не думать] + [жопорукость конкретных людей]
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "Взлом сервера"	+/–
	Сообщение от pavel_simple (ok) on 06-Ноя-13, 19:16
	>> ёбaннЬ\|й стыд >> систему в мусорное ведро и ставить по новой > да тут не систему - тут админов за дверь )) > 1) если сервак за фаером - о каком тогда руте вообще речь? > о каком подборе? если 22 открыт - ну ты понял, да? > ... > 2) тут скорей всего [веб-сервис на опенсорсе не патченый давным давно и > открытый всем, да еще полюбе запущенный из под рута чтобы не > заморачиваться и не думать] + [жопорукость конкретных людей] дык там половина всех бинарей с правами на запись -> это гарантированый рут да -- проломать легче всего через 80 с кривыми cgi-bin/php/тд
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

3. "Взлом сервера"	+/–
Сообщение от lavr on 06-Ноя-13, 19:12
> Всем привет. Обращаюсь к гуру. Есть факт взлома сервера. Человек показал список > файлов и каталогов /home и cat /etc/passwd. Как он это сделал > подсказывать не соберееаться сказал что сделал чисто в показательном варианте. Сервер > ubuntu 12.04 находиться за шлюзом freeBsd 9.1. Насколько я понял он > увел каким то образом рут пароль. Возможно по поставил rootkit. ... > Может принципе и хватит. Внутри тревога и паника. Вам показали /etc/passwd или shadow? получить список файлов и директорий - факт не из приятных, но ничего особенного, как и содержимое /etc/passwd, в котором ничего секретного нет в отличие от shadow. ps. если не умеете искать и отлавливать взломы или в чем-то неуверены - обязательная переустановка системы, смена системных паролей и при последующей настройке нужных Вам сервисов - подойти к настройке с точки зрения безопасности, возможно Вы не позаботились о секьюрити некоторых сервисов.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

5. "Взлом сервера"	+/–
Сообщение от name (??) on 06-Ноя-13, 19:37
> пароли везде сменил. Перед этими изменениями я > просто поменял пароли рутовский а он все равно смог добраться ага, а новые пароли лежат теперь где-нибудь в /usr/src/linux-headers-3.2.0-56/include/acpi/atom.h > Может принципе и хватит. Внутри тревога и паника. нет не хватит когда нужно немного обезопасить рабочий сервер, который нельзя выключать, временно используют переустановку всех пакетов и сверку подписей, но все равно потом полностью переустанавливают ось что-то типа такого http://blog.rimuhosting.com/2011/10/12/checking-a-potentiall.../
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

6. "Взлом сервера"	+/–
Сообщение от qwek (ok) on 07-Ноя-13, 00:48
> это было из за того что один из админов chmod нул неправльно > etc когда то. Переустановите систему, желательно сменить OS. Берите крайнюю, стабильную версию любого другого дистрибутива Linux. На всё про всё уйдет максимум 3-4 часа. За ночь справитесь, когда-то подобным образом переустановил за ночь 6 серверов с FreeBSD и не по факту взлома, а лишь из-за подозрения на таковой. Не надо что-то искать во вскрытой системе - удалите её к Бененой маме с HDD.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

7. "Взлом сервера"	+/–
Сообщение от parad (ok) on 07-Ноя-13, 16:03
дело не в пароле. тебя натянули как-то иначе. врятли человек будет общещять взломать перебором пароля к руту и выполнять свое обещание за 10минут( долбоебов логинищихся рутом слишком мало, чтоб кидаться такими обещниями - да про тебя ). вариант - либо эксплуатация уязвимости через через установленное по, либо через открытый выбшелл. такие сайты легко ищуться запросами к гуглу. возможный выполненный сценарий: - чел через гугл находит твой сайт с дырой. - видит возможность выполнения произвольной команды зерез веб, но подняться до рута не может. - видит права на запись в /etc для всех, фиксит скрипты. - ждет когда ты соизволишь ребутнуть сервак или просто что-либо перезапустишь. - не дожидается - подначевает тебя на форуме или в чате, демонстрируя якобы хак. - ты бегом ломишься все ребутать, перезапускать. - он тебя имеет.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	9. "Взлом сервера"	+/–
	Сообщение от ALex_hha (ok) on 09-Ноя-13, 12:22
	> долбоебов логинищихся рутом слишком мало, чтоб кидаться такими обещниями - да про тебя ). с этого места по подробней. И что же хакеру дает возможность логиниться под рутом? :)
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору

8. "Взлом сервера"	+/–
Сообщение от pavlinux (ok) on 08-Ноя-13, 03:05
> Посоветуйте какие еще действия предпринять. dd if=/dev/zero of=/dev/sda; echo "Я тибя имел, гадкий ][@цкEр!!!";echo b > /proc/sysrq-trigger;
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	10. "Взлом сервера"	+/–
	Сообщение от LSTemp (ok) on 12-Ноя-13, 22:14
	>> Посоветуйте какие еще действия предпринять. > dd if=/dev/zero of=/dev/sda; echo "Я тибя имел, гадкий ][@цкEр!!!";echo b > /proc/sysrq-trigger; Радикально)
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору

11. "Взлом сервера"	+/–
Сообщение от LSTemp (ok) on 12-Ноя-13, 22:51
1) кто сказал и как обрисовал факт взлома? 2) права на запись в файлы часто используемых бинарников - явная уязвимость. но нет подтверждения, что это было сделано именно этим человеком. возможно этот косяк был сделан предыдущим администратором или тобой. 3)в логах что? их конечно тоже могут поправить если рута получили, но не посмотреть на них в любом случае просто глупо. 4)чтение /home и /etc/passwd открыто для любого пользователя Итого: 1) у тебя установлены права записи в бинарные файлы - явная уязвимость. проверь, кто владелец этих файлов и кому разрешена запись в них. если только руту - то варианта 2-а: либо рута хакнули, либо это косяк реального рута (тебя/кого-то_еще) по смене прав на доступ к этим файлам. как минимум - переустановка пакетов, содержаших скомпрометированные бинарники. 2)ничего, что может обычный пользователь видеть тебе этот "взломщик" не показал - тут особого повода для беспокойства я не вижу 3) Изучение логов - особенно авторизации (кто когда подключался, тем более речь с твоих слов идет о 10-ти минутах). 4) Проверка и настройка всех сервисов на безопасность (в первую очередь web) 5) периодический дамп важных данных и сидим нервно курим пока все не рухнет ), после переустанавливаем систему (я бы на виртуалке уже сейчас этим озаботился, чтобы потом, если жареный петух клюнет, то быстрее все прошло) PS ничего, что указывало бы на реальный взлом (логи, трафик) я пока не вижу. все мои советы данные выше исходят из этого. ждем новостей. PSS физический доступ к серверу есть у кого? пароль на загрузчик установлен?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	12. "Взлом сервера"	–1 +/–
	Сообщение от parad (ok) on 13-Ноя-13, 16:39
	че за бред?
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Взлом сервера"	+/–
	Сообщение от LSTemp (ok) on 16-Ноя-13, 22:55
	> че за бред? и в чем бред?
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Взлом сервера"	+/–
	Сообщение от parad (ok) on 18-Ноя-13, 04:14
	система скомпромитирована. с правами на запись кем-либо куда-либо человеку показали возможность выполнения команд. глупо полагать что атакующий не воспользовался предоставленными возможностями. ну и бред - советовать анализировать тогда, когда нужно все переставлять. ну и чуток - дампы тоже можно компраметировать( или тупо портить ) когда есть доступ к целевой системе, - тогда когда придет время они будут бесполезны.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Взлом сервера"	+/–
	Сообщение от LSTemp (ok) on 20-Ноя-13, 00:15
	> система скомпромитирована. с правами на запись кем-либо куда-либо человеку показали возможность > выполнения команд. глупо полагать что атакующий не воспользовался предоставленными > возможностями. Вы вообще читаете прежде чем писать? В моем посте явно сказано "как минимум переустановка пакетов" > ну и бред - советовать анализировать тогда, когда нужно все переставлять. Правильно - давайте не будем пытаться разобраться откуда у проблемы ноги растут - чтобы в следующий раз точно так же налететь. > ну и чуток - дампы тоже можно компраметировать( или тупо портить ) > когда есть доступ к целевой системе, - тогда когда придет время > они будут бесполезны. Что дампы и логи могут быть скомпрометированн я тоже писал. Однако это не повод, чтобы не делать резервные копии данных или не иметь копию логов на удаленном сервере (благо все сислоги преррасно это умеют). Иначе, "когда придет время", Вы 100% будете с пустыми руками, а не с _возможно_ (еще и поэтому надо изучать что произошло) скомпрометированными данными, от которых хотя бы оттолкнуться можно при восстановлении работоспособности системы.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору