Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
 Добавлено: 21/10/08 в 01:06 |
Пока не известно, как залезли, доступ закрыт по айпи.
Добавили на все хтмл хуйню. сайты на вп не пашут, сиджи работают пока
вот эти ребята prevedvsem 123 cn с украины судя по всему.
|
|
|
|
| |
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
 
|
| Добавлено: 21/10/08 в 13:03 |
пипец...
даже закрытый доступ по айпи не спасет...
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 21/10/08 в 13:16 |
у кого не закрыт рут, закрывайте.
Хз как, но скорее всего пролезли рутом.
Добавили футер в расширения хтмл и пхп вроде. остальное не тронули.
Кстати вопрос, куда заабузить можно?
|
|
|
|
| |
Самый добрый бегемот
С нами с 24.06.03
Сообщения: 954
Рейтинг: 574
|
| Добавлено: 21/10/08 в 13:30 |
WP - движок с открытым кодом, найдя одну дырочку можно получить контроль над всеми остальными доменами на аккаунте, а при криво настроенном веб сервере и над всеми доменами на сервере
|
|
|
|
| |
С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144
|
| Добавлено: 21/10/08 в 13:31 |
| gilbert писал: | | у кого не закрыт рут, закрывайте. |
А пароль рута случайно не "cocacola"? 
|
|
|
|
| |
С нами с 15.07.03
Сообщения: 1120
Рейтинг: 1628
|
| Добавлено: 21/10/08 в 13:34 |
18-го была такая х... Прошли рутом... На сервере стояли только сиджи, WP не было никогда...
|
|
|
|
| |
Самый добрый бегемот
С нами с 24.06.03
Сообщения: 954
Рейтинг: 574
|
| Добавлено: 21/10/08 в 13:46 |
сделай пароль рута попроще, но доступ оставь только со 1-2 ИП
в результате пароль не забудешь, и будешь ручками его вводить =)
хотя с чего ты решил что прошлись рутом?
|
|
|
|
| |
С нами с 15.07.03
Сообщения: 1120
Рейтинг: 1628
|
| Добавлено: 21/10/08 в 14:01 |
Users logging in through sshd:
root:
reverse.totalin.net (91.195.118.135): 1 time
|
|
|
|
| |
С нами с 21.09.03
Сообщения: 7329
Рейтинг: 2144
|
| Добавлено: 21/10/08 в 14:05 |
Еще раз спрошу - каков был пароль рута? Ибо скорее всего пароль был подобран по словарю.
|
|
|
|
| |
С нами с 15.07.03
Сообщения: 1120
Рейтинг: 1628
|
| Добавлено: 21/10/08 в 14:18 |
Был примерно такой В2AxW4cbKl5*a...
Думаю словарем тут и не пахнет...
|
|
|
|
| |
Old Oil Barrel
С нами с 09.09.04
Сообщения: 58531
Рейтинг: 14265
|
| Добавлено: 21/10/08 в 15:44 |
| gilbert писал: | у кого не закрыт рут, закрывайте.
Хз как, но скорее всего пролезли рутом.
Добавили футер в расширения хтмл и пхп вроде. остальное не тронули.
Кстати вопрос, куда заабузить можно? |
глянь вхоис домена
где зареган туда и пиши арбуз
+
хостеру
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 21/10/08 в 16:15 |
| lega_cobra писал: | | Еще раз спрошу - каков был пароль рута? Ибо скорее всего пароль был подобран по словарю. |
Словарь у них был очень нихуевый ,т.к у меня все пароли генерятся из 8-10 случайных символов.
|
|
|
|
| |
Добрый ОС :=)
С нами с 12.04.04
Сообщения: 8323
Рейтинг: 3292
|
| Добавлено: 21/10/08 в 19:36 |
Тоже такая же фигня  На виртуале несколько доменов, на всех страницах поставили трояна, в том числе и на статических хтмл. Могли ли это сделать только лишь воспользовавшийсь дырой в каком-то скрипте на домене, или только при помощи доступа ко всему хосту?
З.Ы. пару дней хост лежал, вроде из-за ддоса.
|
|
|
|
| |
С нами с 10.12.03
Сообщения: 1615
Рейтинг: 870
|
| Добавлено: 21/10/08 в 19:44 |
| gilbert писал: | | Словарь у них был очень нихуевый ,т.к у меня все пароли генерятся из 8-10 случайных символов. |
да ясно, что не брутфорс
|
|
|
|
| |
С нами с 15.07.03
Сообщения: 1120
Рейтинг: 1628
|
| Добавлено: 21/10/08 в 20:27 |
2WASP
А панелька какая стоит, не директ админ случаем?
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 21/10/08 в 20:48 |
директ cnjbn, это не ты мне стучал сегодня? Я думал, что ты, значит нас уже как минимум трое.
Сегодня обновил до последней версии 1.32.3 директ админ, до этого стояла 1.32.1.
Тоже приходил в голову вариант, что через него могли залезть.
|
|
|
|
| |
С нами с 29.04.06
Сообщения: 243
Рейтинг: 326
|
| Добавлено: 21/10/08 в 20:55 |
А что за СЖ скрипт и какой ротатор? Может они с дыркой? То что ВП ломают - это факт. У меня переодически ломают блоги, те где вордпресс не апдейтю, но рута не подбирали не разу.
|
|
|
|
| |
С нами с 15.07.03
Сообщения: 1120
Рейтинг: 1628
|
| Добавлено: 21/10/08 в 21:28 |
2gilbert
Ага, я стучался...
2Garywell
Скрипты разные стоят, у меня одни, у gilbert'а другие...
Озвучивать не стану, было только одно совпадение, что стоит директ админ...
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 21/10/08 в 21:50 |
в общем еще человек стукнулся, взлом был даже на серваке без директ админа. Причем взломы продолжаются, смена паролей не помагает.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17156
Рейтинг: 6019
|
| Добавлено: 21/10/08 в 22:44 |
Посмотри "ps ax" и скажи какой сторонний софт стоит от рута?
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 21/10/08 в 23:08 |
вот все, что от рута:
| Код: |
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 2428 480 ? S May22 0:31 init [3]
root 2 0.0 0.0 0 0 ? S May22 0:47 [migration/0]
root 3 0.0 0.0 0 0 ? SN May22 0:01 [ksoftirqd/0]
root 4 0.0 0.0 0 0 ? S May22 0:35 [migration/1]
root 5 0.0 0.0 0 0 ? SN May22 0:02 [ksoftirqd/1]
root 6 0.0 0.0 0 0 ? S< May22 0:25 [events/0]
root 7 0.0 0.0 0 0 ? S< May22 0:19 [events/1]
root 8 0.0 0.0 0 0 ? S< May22 0:00 [khelper]
root 9 0.0 0.0 0 0 ? S< May22 0:00 [kacpid]
root 31 0.0 0.0 0 0 ? S< May22 0:00 [kblockd/0]
root 32 0.0 0.0 0 0 ? S< May22 0:00 [kblockd/1]
root 33 0.0 0.0 0 0 ? S May22 0:00 [khubd]
root 52 0.0 0.0 0 0 ? S May22 37:35 [kswapd0]
root 53 0.0 0.0 0 0 ? S< May22 0:00 [aio/0]
root 54 0.0 0.0 0 0 ? S< May22 0:00 [aio/1]
root 200 0.0 0.0 0 0 ? S May22 0:00 [kseriod]
root 427 0.0 0.0 0 0 ? S May22 0:00 [scsi_eh_0]
root 428 0.0 0.0 0 0 ? S May22 0:00 [ahd_dv_0]
root 443 0.0 0.0 0 0 ? S< May22 0:00 [ata/0]
root 444 0.0 0.0 0 0 ? S< May22 0:00 [ata/1]
root 445 0.0 0.0 0 0 ? S< May22 0:00 [ata_aux]
root 449 0.0 0.0 0 0 ? S May22 0:00 [scsi_eh_1]
root 450 0.0 0.0 0 0 ? S May22 0:00 [scsi_eh_2]
root 460 0.0 0.0 0 0 ? S May22 102:48 [kjournald]
root 1490 0.0 0.0 2512 92 ? S 15:18 0:00 vm-pop3d -d 10 -t 600
root 1764 0.0 0.0 1560 356 ? S<s May22 0:00 udevd
root 2219 0.0 0.0 0 0 ? S< May22 0:00 [kauditd]
root 2378 0.0 0.0 0 0 ? S May22 0:00 [kjournald]
root 2379 0.0 0.0 0 0 ? S May22 9:48 [kjournald]
root 3053 0.0 0.0 2512 92 ? S 15:23 0:00 vm-pop3d -d 10 -t 600
root 3080 0.0 0.0 2512 92 ? S 15:23 0:00 vm-pop3d -d 10 -t 600
root 3130 0.0 0.0 1616 536 ? Ss May22 10:32 syslogd -m 0
root 3134 0.0 0.0 2936 372 ? Ss May22 0:00 klogd -x
root 3147 0.0 0.0 2024 276 ? Ss May22 0:04 irqbalance
root 3213 0.0 0.0 5568 272 ? Ss May22 0:00 rpc.idmapd
root 3291 0.0 0.0 2564 332 ? S May22 0:00 /usr/sbin/smartd
root 3300 0.0 0.0 2352 320 ? Ss May22 0:00 /usr/sbin/acpid
root 3384 0.0 0.0 3096 692 ? Ss May22 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
root 3393 0.0 0.0 5840 940 ? S May22 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql
root 3475 0.0 0.0 2476 312 ? Ss May22 0:00 gpm -m /dev/input/mice -t exps2
root 3541 0.0 0.0 2512 332 ? S May22 0:16 vm-pop3d -d 10 -t 600
root 3561 0.0 0.0 5228 924 ? Ss May22 10:19 crond
root 3600 0.0 0.0 3252 344 ? Ss May22 0:00 /usr/sbin/atd
root 3620 0.0 0.0 8036 1740 ? Ss May22 0:06 hald
root 3640 0.0 0.0 2324 316 tty1 Ss+ May22 0:00 /sbin/mingetty tty1
root 3641 0.0 0.0 1732 316 tty2 Ss+ May22 0:00 /sbin/mingetty tty2
root 3642 0.0 0.0 1740 316 tty3 Ss+ May22 0:00 /sbin/mingetty tty3
root 3643 0.0 0.0 3116 316 tty4 Ss+ May22 0:00 /sbin/mingetty tty4
root 3644 0.0 0.0 1472 316 tty5 Ss+ May22 0:00 /sbin/mingetty tty5
root 3645 0.0 0.0 2836 316 tty6 Ss+ May22 0:00 /sbin/mingetty tty6
root 3903 0.0 0.0 2512 92 ? S 15:25 0:00 vm-pop3d -d 10 -t 600
root 3917 0.0 0.0 2512 92 ? S 15:25 0:00 vm-pop3d -d 10 -t 600
root 3926 0.0 0.0 2512 92 ? S 15:25 0:00 vm-pop3d -d 10 -t 600
root 3927 0.0 0.0 2512 92 ? S 15:25 0:00 vm-pop3d -d 10 -t 600
root 3928 0.0 0.0 2512 92 ? S 15:25 0:00 vm-pop3d -d 10 -t 600
root 4850 0.0 0.0 0 0 ? S Oct13 2:51 [pdflush]
root 5192 0.0 0.1 8316 2308 ? Ss Sep16 0:00 sshd: root@pts/2
root 5356 0.0 0.0 4900 1484 pts/2 Ss+ Sep16 0:00 -bash
root 6954 0.0 0.1 8660 2132 ? Ss Oct19 0:00 cupsd
root 7127 0.0 0.0 7764 1608 ? Ss 15:34 0:00 sshd: root@pts/5
root 7195 0.0 0.0 5436 1384 pts/5 Ss 15:34 0:00 -bash
root 7920 0.0 0.0 1324 92 ? S 15:36 0:00 bash
root 11328 0.0 0.0 2512 92 ? S 15:46 0:00 vm-pop3d -d 10 -t 600
root 11642 0.0 0.0 2888 788 pts/5 R+ 15:46 0:00 ps aux
root 12880 0.0 0.0 1972 272 ? Ss 06:32 0:00 /usr/local/directadmin/da-popb4smtp
root 15392 0.0 0.1 8728 2556 ? Ss Oct20 0:06 sshd: root@pts/7
root 16620 0.0 0.0 5820 1480 pts/7 Ss+ Oct20 0:33 -bash
root 16970 0.0 0.7 25468 15544 ? Ss 00:16 0:02 /usr/sbin/httpd -DHAVE_MIME_MAGIC -DHAVE_CERN_META -DHAVE_EXAMPLE
root 18131 0.0 0.0 7344 1752 ? Ss Aug24 0:02 sshd: root@pts/1
root 18146 0.0 0.0 15116 1356 pts/1 Ss Aug24 15:02 -bash
root 21363 0.0 0.0 0 0 ? S Oct13 1:19 [pdflush]
root 23175 0.0 0.0 7160 1980 pts/1 S+ Sep26 0:00 /usr/bin/mc -P /tmp/mc-root/mc.pwd.18146
root 23177 0.0 0.0 5988 1500 pts/3 Ss+ Sep26 0:00 bash -rcfile .bashrc
root 25137 0.0 0.0 8864 1892 ? Ss Jul09 0:00 sshd: root@pts/0
root 25167 0.0 0.0 5636 1104 pts/0 Ss+ Jul09 0:00 -bash
root 25491 0.0 0.0 5156 960 ? Ss Oct03 0:24 /usr/sbin/sshd
root 27201 0.0 0.0 2512 92 ? S 15:00 0:00 vm-pop3d -d 10 -t 60 |
|
|
|
|
| |
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
| Добавлено: 21/10/08 в 23:21 |
Есть похожие случаи. В логах заходов под рутом нет. Пароли разумеется неподбираемые. Есть предположение что теперь закидывают говно через кроны ат3, это объясняет полную чистоту всех логов.
|
|
|
|
| |
С нами с 15.11.07
Сообщения: 317
Рейтинг: 274
|
| Добавлено: 21/10/08 в 23:30 |
да ну нах, вот только думал, доменчик есть уже давно, а там атх, может установить, тож просится давно...
ДА ВРОДЕ НЕТ!мда...
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17156
Рейтинг: 6019
|
| Добавлено: 21/10/08 в 23:37 |
А что там у нас на xinetd слушает? (netstat -ln)
rpc.idmapd, cupsd - это не нужно по ходу.
| Цитата: | | Есть похожие случаи. В логах заходов под рутом нет. |
Да это руткит так делает.
Кстати, попробуй прочекать тулзой chkrootkit. Если тест положительный будет - можешь отключать сервер и форматировать. Но надо понять через что залезло. Я хуй знает как вообще можно через CGI скрипт получить рута. Теоретически вероятность есть, но я не верю. Права веб сервера да. Но не рута же.
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 21/10/08 в 23:38 |
| supphosting.com писал: | | Есть похожие случаи. В логах заходов под рутом нет. Пароли разумеется неподбираемые. Есть предположение что теперь закидывают говно через кроны ат3, это объясняет полную чистоту всех логов. |
Один из случаев взлома был у вас, там где ат3 нету. Так что дело не в этом.
А в принципе возможен взлом где-то на уровне лоередтек?
|
|
|
|
| |
