Опять поламали

Тема: Опять поламали

цитата
21/10/08 в 01:06

gilbert
Пока не известно, как залезли, доступ закрыт по айпи.
Добавили на все хтмл хуйню. сайты на вп не пашут, сиджи работают пока
вот эти ребята prevedvsem 123 cn с украины судя по всему.

цитата
21/10/08 в 13:03

Sergeyka
пипец...
даже закрытый доступ по айпи не спасет...

цитата
21/10/08 в 13:16

gilbert
у кого не закрыт рут, закрывайте.
Хз как, но скорее всего пролезли рутом.
Добавили футер в расширения хтмл и пхп вроде. остальное не тронули.
Кстати вопрос, куда заабузить можно?

цитата
21/10/08 в 13:30

atrius
WP - движок с открытым кодом, найдя одну дырочку можно получить контроль над всеми остальными доменами на аккаунте, а при криво настроенном веб сервере и над всеми доменами на сервере

цитата
21/10/08 в 13:31

lega_cobra
gilbert писал:

у кого не закрыт рут, закрывайте.

А пароль рута случайно не "cocacola"?

цитата
21/10/08 в 13:34

Barkley
18-го была такая х... Прошли рутом... На сервере стояли только сиджи, WP не было никогда...

цитата
21/10/08 в 13:46

atrius

сделай пароль рута попроще, но доступ оставь только со 1-2 ИП
в результате пароль не забудешь, и будешь ручками его вводить =)
хотя с чего ты решил что прошлись рутом?

цитата
21/10/08 в 14:01

Barkley
Users logging in through sshd:
root:
reverse.totalin.net (91.195.118.135): 1 time

цитата
21/10/08 в 14:05

lega_cobra
Еще раз спрошу - каков был пароль рута? Ибо скорее всего пароль был подобран по словарю.

цитата
21/10/08 в 14:18

Barkley
Был примерно такой В2AxW4cbKl5*a...
Думаю словарем тут и не пахнет...

цитата
21/10/08 в 15:44

Sergeyka
gilbert писал:

у кого не закрыт рут, закрывайте.
Хз как, но скорее всего пролезли рутом.
Добавили футер в расширения хтмл и пхп вроде. остальное не тронули.
Кстати вопрос, куда заабузить можно?

глянь вхоис домена
где зареган туда и пиши арбуз
+
хостеру

цитата
21/10/08 в 16:15

gilbert
lega_cobra писал:

Еще раз спрошу - каков был пароль рута? Ибо скорее всего пароль был подобран по словарю.

Словарь у них был очень нихуевый

,т.к у меня все пароли генерятся из 8-10 случайных символов.

цитата
21/10/08 в 19:36

WASP
Тоже такая же фигня

На виртуале несколько доменов, на всех страницах поставили трояна, в том числе и на статических хтмл. Могли ли это сделать только лишь воспользовавшийсь дырой в каком-то скрипте на домене, или только при помощи доступа ко всему хосту?
З.Ы. пару дней хост лежал, вроде из-за ддоса.

цитата
21/10/08 в 19:44

Еugene
gilbert писал:

Словарь у них был очень нихуевый

,т.к у меня все пароли генерятся из 8-10 случайных символов.

да ясно, что не брутфорс

цитата
21/10/08 в 20:27

Barkley
2WASP

А панелька какая стоит, не директ админ случаем?

цитата
21/10/08 в 20:48

gilbert
директ cnjbn, это не ты мне стучал сегодня? Я думал, что ты, значит нас уже как минимум трое.
Сегодня обновил до последней версии 1.32.3 директ админ, до этого стояла 1.32.1.
Тоже приходил в голову вариант, что через него могли залезть.

цитата
21/10/08 в 20:55

Garywell
А что за СЖ скрипт и какой ротатор? Может они с дыркой? То что ВП ломают - это факт. У меня переодически ломают блоги, те где вордпресс не апдейтю, но рута не подбирали не разу.

цитата
21/10/08 в 21:28

Barkley
2gilbert

Ага, я стучался...

2Garywell

Скрипты разные стоят, у меня одни, у gilbert'а другие...
Озвучивать не стану, было только одно совпадение, что стоит директ админ...

цитата
21/10/08 в 21:50

gilbert
в общем еще человек стукнулся, взлом был даже на серваке без директ админа. Причем взломы продолжаются, смена паролей не помагает.

цитата
21/10/08 в 22:44

Pentarh
Посмотри "ps ax" и скажи какой сторонний софт стоит от рута?

цитата
21/10/08 в 23:08

gilbert
вот все, что от рута:
Код:

USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 2428 480 ? S May22 0:31 init [3]
root 2 0.0 0.0 0 0 ? S May22 0:47 [migration/0]
root 3 0.0 0.0 0 0 ? SN May22 0:01 [ksoftirqd/0]
root 4 0.0 0.0 0 0 ? S May22 0:35 [migration/1]
root 5 0.0 0.0 0 0 ? SN May22 0:02 [ksoftirqd/1]
root 6 0.0 0.0 0 0 ? S< May22 0:25 [events/0]
root 7 0.0 0.0 0 0 ? S< May22 0:19 [events/1]
root 8 0.0 0.0 0 0 ? S< May22 0:00 [khelper]
root 9 0.0 0.0 0 0 ? S< May22 0:00 [kacpid]
root 31 0.0 0.0 0 0 ? S< May22 0:00 [kblockd/0]
root 32 0.0 0.0 0 0 ? S< May22 0:00 [kblockd/1]
root 33 0.0 0.0 0 0 ? S May22 0:00 [khubd]
root 52 0.0 0.0 0 0 ? S May22 37:35 [kswapd0]
root 53 0.0 0.0 0 0 ? S< May22 0:00 [aio/0]
root 54 0.0 0.0 0 0 ? S< May22 0:00 [aio/1]
root 200 0.0 0.0 0 0 ? S May22 0:00 [kseriod]
root 427 0.0 0.0 0 0 ? S May22 0:00 [scsi_eh_0]
root 428 0.0 0.0 0 0 ? S May22 0:00 [ahd_dv_0]
root 443 0.0 0.0 0 0 ? S< May22 0:00 [ata/0]
root 444 0.0 0.0 0 0 ? S< May22 0:00 [ata/1]
root 445 0.0 0.0 0 0 ? S< May22 0:00 [ata_aux]
root 449 0.0 0.0 0 0 ? S May22 0:00 [scsi_eh_1]
root 450 0.0 0.0 0 0 ? S May22 0:00 [scsi_eh_2]
root 460 0.0 0.0 0 0 ? S May22 102:48 [kjournald]
root 1490 0.0 0.0 2512 92 ? S 15:18 0:00 vm-pop3d -d 10 -t 600
root 1764 0.0 0.0 1560 356 ? S<s May22 0:00 udevd
root 2219 0.0 0.0 0 0 ? S< May22 0:00 [kauditd]
root 2378 0.0 0.0 0 0 ? S May22 0:00 [kjournald]
root 2379 0.0 0.0 0 0 ? S May22 9:48 [kjournald]
root 3053 0.0 0.0 2512 92 ? S 15:23 0:00 vm-pop3d -d 10 -t 600
root 3080 0.0 0.0 2512 92 ? S 15:23 0:00 vm-pop3d -d 10 -t 600
root 3130 0.0 0.0 1616 536 ? Ss May22 10:32 syslogd -m 0
root 3134 0.0 0.0 2936 372 ? Ss May22 0:00 klogd -x
root 3147 0.0 0.0 2024 276 ? Ss May22 0:04 irqbalance
root 3213 0.0 0.0 5568 272 ? Ss May22 0:00 rpc.idmapd
root 3291 0.0 0.0 2564 332 ? S May22 0:00 /usr/sbin/smartd
root 3300 0.0 0.0 2352 320 ? Ss May22 0:00 /usr/sbin/acpid
root 3384 0.0 0.0 3096 692 ? Ss May22 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
root 3393 0.0 0.0 5840 940 ? S May22 0:00 /bin/sh /usr/bin/mysqld_safe --datadir=/var/lib/mysql
root 3475 0.0 0.0 2476 312 ? Ss May22 0:00 gpm -m /dev/input/mice -t exps2
root 3541 0.0 0.0 2512 332 ? S May22 0:16 vm-pop3d -d 10 -t 600
root 3561 0.0 0.0 5228 924 ? Ss May22 10:19 crond
root 3600 0.0 0.0 3252 344 ? Ss May22 0:00 /usr/sbin/atd
root 3620 0.0 0.0 8036 1740 ? Ss May22 0:06 hald
root 3640 0.0 0.0 2324 316 tty1 Ss+ May22 0:00 /sbin/mingetty tty1
root 3641 0.0 0.0 1732 316 tty2 Ss+ May22 0:00 /sbin/mingetty tty2
root 3642 0.0 0.0 1740 316 tty3 Ss+ May22 0:00 /sbin/mingetty tty3
root 3643 0.0 0.0 3116 316 tty4 Ss+ May22 0:00 /sbin/mingetty tty4
root 3644 0.0 0.0 1472 316 tty5 Ss+ May22 0:00 /sbin/mingetty tty5
root 3645 0.0 0.0 2836 316 tty6 Ss+ May22 0:00 /sbin/mingetty tty6
root 3903 0.0 0.0 2512 92 ? S 15:25 0:00 vm-pop3d -d 10 -t 600
root 3917 0.0 0.0 2512 92 ? S 15:25 0:00 vm-pop3d -d 10 -t 600
root 3926 0.0 0.0 2512 92 ? S 15:25 0:00 vm-pop3d -d 10 -t 600
root 3927 0.0 0.0 2512 92 ? S 15:25 0:00 vm-pop3d -d 10 -t 600
root 3928 0.0 0.0 2512 92 ? S 15:25 0:00 vm-pop3d -d 10 -t 600
root 4850 0.0 0.0 0 0 ? S Oct13 2:51 [pdflush]
root 5192 0.0 0.1 8316 2308 ? Ss Sep16 0:00 sshd: root@pts/2
root 5356 0.0 0.0 4900 1484 pts/2 Ss+ Sep16 0:00 -bash
root 6954 0.0 0.1 8660 2132 ? Ss Oct19 0:00 cupsd
root 7127 0.0 0.0 7764 1608 ? Ss 15:34 0:00 sshd: root@pts/5
root 7195 0.0 0.0 5436 1384 pts/5 Ss 15:34 0:00 -bash
root 7920 0.0 0.0 1324 92 ? S 15:36 0:00 bash
root 11328 0.0 0.0 2512 92 ? S 15:46 0:00 vm-pop3d -d 10 -t 600
root 11642 0.0 0.0 2888 788 pts/5 R+ 15:46 0:00 ps aux
root 12880 0.0 0.0 1972 272 ? Ss 06:32 0:00 /usr/local/directadmin/da-popb4smtp
root 15392 0.0 0.1 8728 2556 ? Ss Oct20 0:06 sshd: root@pts/7
root 16620 0.0 0.0 5820 1480 pts/7 Ss+ Oct20 0:33 -bash
root 16970 0.0 0.7 25468 15544 ? Ss 00:16 0:02 /usr/sbin/httpd -DHAVE_MIME_MAGIC -DHAVE_CERN_META -DHAVE_EXAMPLE
root 18131 0.0 0.0 7344 1752 ? Ss Aug24 0:02 sshd: root@pts/1
root 18146 0.0 0.0 15116 1356 pts/1 Ss Aug24 15:02 -bash
root 21363 0.0 0.0 0 0 ? S Oct13 1:19 [pdflush]
root 23175 0.0 0.0 7160 1980 pts/1 S+ Sep26 0:00 /usr/bin/mc -P /tmp/mc-root/mc.pwd.18146
root 23177 0.0 0.0 5988 1500 pts/3 Ss+ Sep26 0:00 bash -rcfile .bashrc
root 25137 0.0 0.0 8864 1892 ? Ss Jul09 0:00 sshd: root@pts/0
root 25167 0.0 0.0 5636 1104 pts/0 Ss+ Jul09 0:00 -bash
root 25491 0.0 0.0 5156 960 ? Ss Oct03 0:24 /usr/sbin/sshd
root 27201 0.0 0.0 2512 92 ? S 15:00 0:00 vm-pop3d -d 10 -t 60

цитата
21/10/08 в 23:21

supphosting.com
Есть похожие случаи. В логах заходов под рутом нет. Пароли разумеется неподбираемые. Есть предположение что теперь закидывают говно через кроны ат3, это объясняет полную чистоту всех логов.

цитата
21/10/08 в 23:30

SamsonS
да ну нах, вот только думал, доменчик есть уже давно, а там атх, может установить, тож просится давно...
ДА ВРОДЕ НЕТ!мда...

цитата
21/10/08 в 23:37

Pentarh
А что там у нас на xinetd слушает? (netstat -ln)

rpc.idmapd, cupsd - это не нужно по ходу.

Цитата:

Есть похожие случаи. В логах заходов под рутом нет.

Да это руткит так делает.

Кстати, попробуй прочекать тулзой chkrootkit. Если тест положительный будет - можешь отключать сервер и форматировать. Но надо понять через что залезло. Я хуй знает как вообще можно через CGI скрипт получить рута. Теоретически вероятность есть, но я не верю. Права веб сервера да. Но не рута же.

цитата
21/10/08 в 23:38

gilbert
supphosting.com писал:

Есть похожие случаи. В логах заходов под рутом нет. Пароли разумеется неподбираемые. Есть предположение что теперь закидывают говно через кроны ат3, это объясняет полную чистоту всех логов.

Один из случаев взлома был у вас, там где ат3 нету. Так что дело не в этом.
А в принципе возможен взлом где-то на уровне лоередтек?

Стр. 1, 2, 3, 4, 5 > последняя »

Новая тема Ответить

Эта страница в полной версии