Новая тема   Ответить

 gilbert
Pentarh писал:
ага

 Pentarh
Ну тогда рекомендую прибегнуть к тяжелой артилерии

 Gourad
Pentarh писал:
Жжошь
Я вообще порекомендовал на всякий случай с чистой машины взять контрольные суммы файлов и посверять, если всё хорошо значит руткита нету.

 gilbert
Pentarh писал:

 Pentarh
Хз, я глянул на дистр директадмина, ну че там сетевого?

dovecot
proftpd
httpd
exim
named

Из всего этого подозрения вызывает dovecot. Немного бинд.

из скриптового
webalizer,roundcube,squirrelmail,phpmyadmin

Все вышеперечисленное устанавливается директадмином и опасно. Но как рута через это получить хз. Бубен в помощь )

 gilbert
нашел странный файл
в куче непонятного есть Welcome to Mor fe us's root
оно?

Последний раз редактировалось: gilbert (22/10/08 в 01:51), всего редактировалось 1 раз

 Pentarh
Бинарник? Кажеца оно. Подробности плз, максимум.

 gilbert
убрал код пока, кому интересно могу скинуть

Последний раз редактировалось: gilbert (22/10/08 в 01:50), всего редактировалось 1 раз

 gilbert
в общем так, по порядку:
запустил ls -la /sbin
увидел, что красным светится
-rwsr-sr-x 1 root root 8791 Oct 3 10:53 shs
причем дата странная
потом man shs - No manual entry for shs
скачал, а там пертушка и написано что рут
не ремувится в темп.

 Pentarh
gilbert писал:
cуидный бит стоит. можно еще глянуть суидные файлы на предмет подозрительных
find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;

 WASP
Barkley писал:
Она самая.

 gilbert
панель непричем, ломали юзеров и без панели.
Проверяйте на наличие файла, еще на одном уже нашли ту же хуйню.

 Pentarh
gilbert: ну так позырить дашь? авось увижу чего

 Erotix
gilbert, какая OS стоит?

 gilbert
Erotix писал:
Cent os
Кстати отправил запрос в тикет на реинстал, пока тихо чтото.
Тут приходил ответ от лоередов, что лучше реинсталить, причем вроде как они бесплатно предлагают.
I recvd the official response from LT:
“We have discovered/removed the telnet backdoor bound to port 1144, and several other related binaries. I recommend you change all system passwords immediately to avoid any further intrusion, but to be 100% sure this does not occur again I would highly recommend a reload of your server at no charge. Please let me know how you would like to proceed.”
урл сайта потер, их опять взломали. впаривают хуйню опять

там вообще высказывают предположение, что через них пароли к рутам стянули, такое возможно вообще? У них есть инфа по рутам?
Just a note: It seems like Layered Technologies was hacked about a month ago and the hackers got over 6000 usernames and password.

В общем нездоровая фигня, как пролезло, так и не поняли, есть предположения, что утянули рута, как пока неизвестно, есть три варианта, у меня с компа, не у меня и третий вариант - через бекапы,
Erotix, у вас при бекапах инфа рута передается как-то?

Последний раз редактировалось: gilbert (23/10/08 в 18:07), всего редактировалось 1 раз

 gilbert
supphosting.com писал:
скажите плз, какая ось стоит на поломанных серваках?

 Barkley
У меня стоит центос...

 Soft-Com
дело не в том у кого какая ОСь стоит - приложения то все одинаковые используют (apache, mysql, php, nginx etc.), так что дело не в ОСи, а в одинаковых скриптах и приложениях.

системно к защите нужно подходить(отдельные фтп-аккаунты для каждого домена, другие здравые идеи, и т.д.) - и всё будет ОК.

 Pentarh

Я смотрел сервер gilbertа. Там грешить можно только на dovecot,named,directadmin. Поскольку у людей с похожей проблемой директадмин с довекотом стоял не всегда, приходится задумываться.

85% что рутовый пароль спиздили либо у овнера, либо у лаеров. А от пизженья пароля не застрахуешься, а коли застрахуешься, воткнешь судо там, отключишь рута, сделаешь фильтр по айпи - это сделает пребывание на сервере невыносимым для овнера.

 supphosting.com
gilbert писал:
У ЛТ только дефолтные пароли присваиваемые каждому пользователю индивидуально. Если эти пароли не меняются, то это разгильдяйство тех кто сдает такой сервер. Менять рут на свой никто не мешает, разумеется.

 Gourad
supphosting.com писал:
Это разгильдяйство тех кто берет сервер и не меняет пароль на рута. Мой лайеровский сервак тоже сеня поломали, пароль забрутать было анрил, ОС фря 6.4, named, nginx. Прочекал все контрольные суммы файлов - руткита нету. Что интересно серваки не в лайерах не пострадали. ltvs юзер разумеется был залочен.

 Pentarh
руткиты под фрю это высший пилотаж. очень редкое явление. впаривают линуксам обычно, до фри еще не доросли.

 supphosting.com
Gourad писал:
ltsv доступ только у level 2 support у единиц админов, надеюсь они не дошли до маразма хранить его где-то.

 Gourad
Pentarh писал:
Та я знаю... меня сам факт взлома удивил... пароли никуда утечь не могли... руткитов у мя на компах не обитает. в логах один рутовый логин с какой то панамской прокси. сижу думаю как.
supphosting.com писал:
Вообще есть идея что у лайеров спиздили базу тикетов, там где то если мне не изменяет память нужно было вводить рутовый пасс. Но как ко мне забрались х.з. у меня на рута вообще пароля нету, только ключи.

 gilbert
ступил