Włamanie Do Systemu

[Lukasz69]

Witam!

 

Jestem użytkownikiem już sędziwej Fedory jeszcze Core 6. Planuję przesiadkę na F 11 i już prawie jestem gotowy. Przeglądałem system by pozgrywać ważne rzeczy. Z różnych powodów od mniej więcej lipca nie przeglądałem poczty wysyłanej na konto roota. Dziś czytam i natrafiłem na dziwne rzeczy. Był komunikat o niepoprawnie wysłanej wiadomości e-mail. Co dziwnego podany tam był mój ip (mam zmienne bo mam neo) i link do pliku cyber.php. Sprawdziłem i okazało się że pozwala ten skrypt na chodzenie po moim public_html i może i pozwala na wykonywanie komend. Plik był własnością (_root'a_ → roota) ORT. Czas powstania pliku to 21 września. Może da się wyśledzić jak to się stało albo czy ktoś już zdążył pomajstrować? W katalogu /tmp/ znalazłem pliki z nazwami typu windows-coś tam itp. Da się sprawdzić z jakiej strony jakiegoś syfa sobie wgrałem?

 

Dodam jeszcze że zaniepokoiła mnie taka rzecz przez co poszperałem w systemie i w ogóle:

[lukasz@localhost html]$ ls
ls: unrecognized prefix: do
ls: unparsable value for LS_COLORS environment variable

 

A to nagłówki wiadomości które dostaję na konto roota:

>U  1 MAILER-DAEMON@localh  Tue Sep 29 00:05  71/2936  "Returned mail: see transcript for details"

 

Z tego co widzę coś próbuje wysyłać maile - jak to wykryć i zablokować?

 

Pozdrawiam

[Mikołaj]

hmm wygląda nieprzyjemnie. Może skorzystaj z programów które znajdziesz w yumie pod nazwą *rootkit*.

Jak na mój gust to takie rzeczy siedzą albo w cronie, albo ktoś się łączy do Twojego kompa zdalnie i chce coś wysyłać, na razie przychodzi mi na myśl spam

 

swoją drogą przeczytaj te maile i zobacz kto do kogo i którędy.

[exbros]

Proby rozsylania maili swiadcza o tym ze Twoj komp to teraz tak popularny zombie ... F6 ze wzgledu na wiek i brak updateow juz i tak zalatywala trupem, wiec w sumie to nic dziwnego Tak powaznie to Ci wspolczuje, jesli miales tam wazne dane to moze byc niezly bigos... nastepnym razem decyduj sie na przesiadke wczesniej lub wybierz distro o dluzszym cyklu zycia (np. CentOS)

 

A wracajac do tematu - fakt podmiany systemowego ls przez jakis skrypt (na szczescie to tylko nieudolna proba i skrypt jest nie dzialajacy) swiadczy o glebokiej penetracji systemu przez wlamywacza - [a] najlepiej odlacz ta maszyne od sieci (zanim zostanie odgornie zbanowana za rozsylanie spamu), zbootuj z jakiejs plyty LiveCD/ratunkowej-penetracyjnej (nie wykonuj zadnych polecen na tym systemie!!! - ls nie dziala ale nie wiadomo jak jest z innymi poleceniami, moga dzialac i wykonywac zupelnie nieprzewidywalne czynnosci), [c] uruchom rootkita, [d] przed odzyskaniem/kopiowaniem danych na inny dysk/partycje/plytke warto je przeskanowac takze dobrym, zaktualizowanym antywirem (np. clamav) zwlaszcza jesli masz tam jakies pliki exe i/lub dll, dokumenty MSOffice i pliki graficzne (jpg, bmp ...)

 

Tutaj linki do najlepszych plyt Live z opcja ratunkowa -> http://www.darknet.org.uk/2006/03/10-best-...nsics-recovery/

 

System zasadniczo do wyrzucenia, mozesz co najwyzej probowac ostroznie odzyskac dane...

Powodzenia

[Lukasz69]

Sytuacja jest taka że zainstalowałem wszystko od nowa. Teraz pomęczę Fedore 11. Zachowałem cały /home i clamav go przeskanuję. Zachowałem też logi - komputer jest za routerem więc sądzę że może przez apache było włamanie bo wystawione było na zewnątrz i nie aktualizowane. Zaraz przywrócę sobie foldery od thunderbirda i firefoxa ale po przeskanowaniu. Jak coś ciekawego znajdę na temat włamania do mojego systemu to zedytuję ten post. Dzięki za info i odzew.