Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
 Добавлено: 22/10/08 в 01:06 |
| Pentarh писал: | ну можно конечно попробовать rpm -e procps*, yum install procps, посмотреть опять ps aux - нет ли чего нового. ну хз, по моему руткита нет.
Всмысле овнер файлов изменился? |
ага
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17156
Рейтинг: 6019
|
| Добавлено: 22/10/08 в 01:07 |
Ну тогда рекомендую прибегнуть к тяжелой артилерии
|
|
|
|
| |
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
| Добавлено: 22/10/08 в 01:10 |
| Pentarh писал: | | Ну тогда рекомендую прибегнуть к тяжелой артилерии |
Жжошь 
Я вообще порекомендовал на всякий случай с чистой машины взять контрольные суммы файлов и посверять, если всё хорошо значит руткита нету.
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 22/10/08 в 01:10 |
| Pentarh писал: | Ну тогда рекомендую прибегнуть к тяжелой артилерии
|
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17156
Рейтинг: 6019
|
| Добавлено: 22/10/08 в 01:19 |
Хз, я глянул на дистр директадмина, ну че там сетевого?
dovecot
proftpd
httpd
exim
named
Из всего этого подозрения вызывает dovecot. Немного бинд.
из скриптового
webalizer,roundcube,squirrelmail,phpmyadmin
Все вышеперечисленное устанавливается директадмином и опасно. Но как рута через это получить хз. Бубен в помощь )
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 22/10/08 в 01:30 |
нашел странный файл
в куче непонятного есть Welcome to Mor fe us's root
оно?
Последний раз редактировалось: gilbert (22/10/08 в 01:51), всего редактировалось 1 раз
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17156
Рейтинг: 6019
|
| Добавлено: 22/10/08 в 01:36 |
Бинарник? Кажеца оно. Подробности плз, максимум.
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 22/10/08 в 01:40 |
убрал код пока, кому интересно могу скинуть
Последний раз редактировалось: gilbert (22/10/08 в 01:50), всего редактировалось 1 раз
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 22/10/08 в 01:43 |
в общем так, по порядку:
запустил ls -la /sbin
увидел, что красным светится
-rwsr-sr-x 1 root root 8791 Oct 3 10:53 shs
причем дата странная
потом man shs - No manual entry for shs
скачал, а там пертушка и написано что рут
не ремувится в темп.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17156
Рейтинг: 6019
|
| Добавлено: 22/10/08 в 02:39 |
| gilbert писал: |
-rwsr-sr-x 1 root root 8791 Oct 3 10:53 shs
|
cуидный бит стоит. можно еще глянуть суидные файлы на предмет подозрительных
find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;
|
|
|
|
| |
Добрый ОС :=)
С нами с 12.04.04
Сообщения: 8323
Рейтинг: 3292
|
| Добавлено: 22/10/08 в 09:56 |
| Barkley писал: | 2WASP
А панелька какая стоит, не директ админ случаем? |
Она самая.
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 22/10/08 в 10:33 |
панель непричем, ломали юзеров и без панели.
Проверяйте на наличие файла, еще на одном уже нашли ту же хуйню.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17156
Рейтинг: 6019
|
| Добавлено: 22/10/08 в 14:10 |
gilbert: ну так позырить дашь? авось увижу чего 
|
|
|
|
| |
С нами с 19.04.03
Сообщения: 4743
Рейтинг: 3194
|
| Добавлено: 23/10/08 в 01:44 |
gilbert, какая OS стоит?
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 23/10/08 в 01:56 |
| Erotix писал: | | gilbert, какая OS стоит? |
Cent os
Кстати отправил запрос в тикет на реинстал, пока тихо чтото.
Тут приходил ответ от лоередов, что лучше реинсталить, причем вроде как они бесплатно предлагают.
I recvd the official response from LT:
“We have discovered/removed the telnet backdoor bound to port 1144, and several other related binaries. I recommend you change all system passwords immediately to avoid any further intrusion, but to be 100% sure this does not occur again I would highly recommend a reload of your server at no charge. Please let me know how you would like to proceed.”
урл сайта потер, их опять взломали. впаривают хуйню опять
там вообще высказывают предположение, что через них пароли к рутам стянули, такое возможно вообще? У них есть инфа по рутам?
Just a note: It seems like Layered Technologies was hacked about a month ago and the hackers got over 6000 usernames and password.
В общем нездоровая фигня, как пролезло, так и не поняли, есть предположения, что утянули рута, как пока неизвестно, есть три варианта, у меня с компа, не у меня и третий вариант - через бекапы,
Erotix, у вас при бекапах инфа рута передается как-то?
Последний раз редактировалось: gilbert (23/10/08 в 18:07), всего редактировалось 1 раз
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 23/10/08 в 02:08 |
| supphosting.com писал: | | Есть похожие случаи. В логах заходов под рутом нет. Пароли разумеется неподбираемые. Есть предположение что теперь закидывают говно через кроны ат3, это объясняет полную чистоту всех логов. |
скажите плз, какая ось стоит на поломанных серваках?
|
|
|
|
| |
С нами с 15.07.03
Сообщения: 1120
Рейтинг: 1628
|
| Добавлено: 23/10/08 в 08:33 |
У меня стоит центос...
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 23/10/08 в 09:59 |
дело не в том у кого какая ОСь стоит - приложения то все одинаковые используют (apache, mysql, php, nginx etc.), так что дело не в ОСи, а в одинаковых скриптах и приложениях.
системно к защите нужно подходить(отдельные фтп-аккаунты для каждого домена, другие здравые идеи, и т.д.) - и всё будет ОК.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17156
Рейтинг: 6019
|
| Добавлено: 23/10/08 в 13:18 |
Я смотрел сервер gilbertа. Там грешить можно только на dovecot,named,directadmin. Поскольку у людей с похожей проблемой директадмин с довекотом стоял не всегда, приходится задумываться.
85% что рутовый пароль спиздили либо у овнера, либо у лаеров. А от пизженья пароля не застрахуешься, а коли застрахуешься, воткнешь судо там, отключишь рута, сделаешь фильтр по айпи - это сделает пребывание на сервере невыносимым для овнера.
|
|
|
|
| |
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
| Добавлено: 23/10/08 в 16:03 |
У ЛТ только дефолтные пароли присваиваемые каждому пользователю индивидуально. Если эти пароли не меняются, то это разгильдяйство тех кто сдает такой сервер. Менять рут на свой никто не мешает, разумеется.
|
|
|
|
| |
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
| Добавлено: 23/10/08 в 16:34 |
| supphosting.com писал: | | У ЛТ только дефолтные пароли присваиваемые каждому пользователю индивидуально. Если эти пароли не меняются, то это разгильдяйство тех кто сдает такой сервер. Менять рут на свой никто не мешает, разумеется. |
Это разгильдяйство тех кто берет сервер и не меняет пароль на рута. Мой лайеровский сервак тоже сеня поломали, пароль забрутать было анрил, ОС фря 6.4, named, nginx. Прочекал все контрольные суммы файлов - руткита нету. Что интересно серваки не в лайерах не пострадали. ltvs юзер разумеется был залочен.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17156
Рейтинг: 6019
|
| Добавлено: 23/10/08 в 17:03 |
руткиты под фрю это высший пилотаж. очень редкое явление. впаривают линуксам обычно, до фри еще не доросли.
|
|
|
|
| |
С нами с 02.09.06
Сообщения: 598
Рейтинг: 613
|
| Добавлено: 23/10/08 в 17:41 |
| Gourad писал: | | Это разгильдяйство тех кто берет сервер и не меняет пароль на рута. Мой лайеровский сервак тоже сеня поломали, пароль забрутать было анрил, ОС фря 6.4, named, nginx. Прочекал все контрольные суммы файлов - руткита нету. Что интересно серваки не в лайерах не пострадали. ltvs юзер разумеется был залочен. |
ltsv доступ только у level 2 support у единиц админов, надеюсь они не дошли до маразма хранить его где-то.
|
|
|
|
| |
саблезубый кролик
С нами с 02.07.05
Сообщения: 2966
Рейтинг: 993
|
| Добавлено: 23/10/08 в 17:42 |
| Pentarh писал: | | руткиты под фрю это высший пилотаж. очень редкое явление. впаривают линуксам обычно, до фри еще не доросли. |
Та я знаю... меня сам факт взлома удивил... пароли никуда утечь не могли... руткитов у мя на компах не обитает. в логах один рутовый логин с какой то панамской прокси. сижу думаю как.
| supphosting.com писал: | | ltsv доступ только у level 2 support у единиц админов, надеюсь они не дошли до маразма хранить его где-то. |
Вообще есть идея что у лайеров спиздили базу тикетов, там где то если мне не изменяет память нужно было вводить рутовый пасс. Но как ко мне забрались х.з. у меня на рута вообще пароля нету, только ключи.
|
|
|
|
| |
Cracked by Bill Gilbert
С нами с 16.09.03
Сообщения: 4228
Рейтинг: 2814
|
| Добавлено: 23/10/08 в 18:09 |
ступил
|
|
|
|
| |
