Автор Тема: EMERGENCY!  (Прочетена 2977 пъти)

Andronoff

  • Напреднали
  • *****
  • Публикации: 260
    • Профил
EMERGENCY!
« -: Nov 09, 2004, 18:17 »
Прибирам се преди малко, бутам мишката, монитора се включва и гледам, че Х се е изключил, на екрана седеше прозорчето за логване. Помислих, че е спирал тока, но после се сетих, че когато спре тока машината се изключва и не тръгва сама, когато тока е пуснат пак. Както и да е, логнах се, и реших да си пусна музика, тогава xmms почна да прескача песните в плейлиста и опитах да ги презаредя, но се оказа, че директорията /home , която е отделна част от диска ми е абсолютно празна!! Отначало не повярвах, отворих браузера и натиснах на /home но и там беше празна, нямаше дори скрити файлове, а там е всичката ми информация, която е безценна за мен! Сега стоя и гледам като теле в железница, изобщо незнам какво е станало, дали някой е ровил или yoper-a ми се е побъркал? Не знам обаче как някой може да рови, понеже ползвам адрес, който ползват още поне 30 потребителя в моя град, а същия този адрес се ползва и от сървъра ни и всяка външна заявка до този адрес води до сървъра, но не и по-нататък! Физически достъп до машината никой е нямал.. Работя с руут акаунта, незнам дали това е от значение в случая.. Помагайте, щото ми се реве, кажете кой лог да погледна, какво да напиша за да разбера какво е станало и дали има начин да се възстанови информацията, кажете ми какво да правя, моля ви, информацията беше безценна за мен!

Ползвам yoper 2.1.0-4 , kde 3.3.0 , reiserfs , 2.6.8.1-3 на машина AMD Athlon 1900+ , ASUS A7N8X-X , Seagate Baracudda 80 GB/7200 rpm , GeForce4 MX 440 128 DDR/8xAGP

Отчаяно се нуждая от помощ и предварително благодаря на всички, които ще ми помогнат!
Активен

2 + 2 = 6 , for extremely large values of 2.

Andronoff

  • Напреднали
  • *****
  • Публикации: 260
    • Профил
EMERGENCY!
« Отговор #1 -: Nov 09, 2004, 18:35 »
Примерен код
root@darkstar ~ # w
 18:36:15 up 12:54,  7 users,  load average: 0.59, 0.25, 0.16
USER     TTY        LOGIN@   IDLE   JCPU   PCPU WHAT
root     :0        17:56   ?xdm?   1:38   0.00s -:0
root     ttyp0     17:56    3days  0.00s 22.77s kdeinit: kded
root     ttyp2     17:58    0.00s  0.00s  0.00s w
root@darkstar ~ # uptime
  6:36pm  up  12:55,  7 users,  load average: 0.33, 0.22, 0.16
root@darkstar ~ #                                  

Как може да е 3 дни idle като машината е up от 13 часа?
В .bash_history няма нищо, което не е мое дело, но може би е редактиран?
И защо по дяволите ако някой е решил да ме хаква, не ми е затрил /etc например, а всичката важна за мен информация в /home ?!
Активен

2 + 2 = 6 , for extremely large values of 2.

  • Гост
EMERGENCY!
« Отговор #2 -: Nov 09, 2004, 18:41 »
Виж в лога на firewall-a за сканирания за отворене портове, за опити някой да се логне в машина.Евентуални сервизи за пробив:ftp ,http,mysql serveri, X11 ,
Активен

empty

  • Напреднали
  • *****
  • Публикации: 893
  • Distribution: Gentoo
  • Window Manager: KDE
  • Alien Invader
    • Профил
    • WWW
EMERGENCY!
« Отговор #3 -: Nov 09, 2004, 18:46 »
Ами в първия си пост казваш, че никой от нет-а неможе да влезе в машината ти щото 30 машини минавате през един рутер. Предполагам, че ти си в мрежа с тези 30 машини и защо да не е една от тях? Мотива за хакването може да е всякакъв и може човека стоящ зад това да е решил, че ще ти е мн по гадно ако ти изтрие /home отколкото /etc. Може и да не е хакване, но е напълно възможно да е.

Успех!
Активен

Powered by 220 Volts.

Andronoff

  • Напреднали
  • *****
  • Публикации: 260
    • Профил
EMERGENCY!
« Отговор #4 -: Nov 09, 2004, 18:48 »
Примерен код
root@darkstar ~ # nmap -p 1-65535 localhost

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2004-11-09 18:51 EET
Interesting ports on localhost (127.0.0.1):
(The 65532 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
631/tcp  open  ipp
6000/tcp open  X11
7741/tcp open  unknown

Nmap run completed -- 1 IP address (1 host up) scanned in 7.552 seconds
root@darkstar ~ #            


Имаше още един отворен - 5454/tcp на него беше един eggdrop, който беше в /home ;(
Активен

2 + 2 = 6 , for extremely large values of 2.

Andronoff

  • Напреднали
  • *****
  • Публикации: 260
    • Профил
EMERGENCY!
« Отговор #5 -: Nov 09, 2004, 18:54 »
@empty Живея в малък град, тук всички се познаваме и мога да твърдя, че няма човек, който е способен на такова нещо в тази мрежа, а дори и да имаше, щеше да остави някакво послание, за да ми е гадно, това е манталитета на моите съграждани.

А между другото, къде да намеря въпросният лог на файъруола?
Активен

2 + 2 = 6 , for extremely large values of 2.

Andronoff

  • Напреднали
  • *****
  • Публикации: 260
    • Профил
EMERGENCY!
« Отговор #6 -: Nov 09, 2004, 19:02 »
Примерен код
CASCADE (CERN Architecture and System Components for an Adaptable Data-acquisition Environment) is a software package developed at CERN by the dataacquisition group of the ECP Division for the construction of distributed, real-time,data-acquisition systems for high-energy physics experiments. Originally targeted to the NOMAD experiment, CASCADE has been designed to adapt to a wide range ofsystem configurations and to provide a set of software building blocks so that dataacquisition systems can be constructed in a homogeneous way.

Това е 7741/tcp open  unknown

EDIT: Сетих се, че теглех музика с gFTP , незнам дали и то не е възможна дупка в сигурността.
EDIT2: Също така и smb4k вървеше, както и егдроп-а, за друго не се сещам..
Активен

2 + 2 = 6 , for extremely large values of 2.

Andronoff

  • Напреднали
  • *****
  • Публикации: 260
    • Профил
EMERGENCY!
« Отговор #7 -: Nov 09, 2004, 19:25 »
Цитат
root@darkstar ~ # df
Filesystem           1K-blocks      Used Available Use% Mounted on
rootfs                 9767184   2423776   7343408  25% /
/dev/root              9767184   2423776   7343408  25% /
none                   9767184   2423776   7343408  25% /dev/pts
/dev/hda4              9767184   2423776   7343408  25% /home
/dev/hdc               9767184   2423776   7343408  25% /mnt/cdwriter
/dev/hdd                718954    718954         0 100% /mnt/cdrom


А това може ли някой да ми го обясни?!? /home - 25% used ??!?!
Активен

2 + 2 = 6 , for extremely large values of 2.

the_real_maniac

  • Напреднали
  • *****
  • Публикации: 1258
  • Kernel panic, me - no panic ;-) :-)
    • Профил
EMERGENCY!
« Отговор #8 -: Nov 09, 2004, 19:48 »
Пробвай да я премонтираш

umount /dev/hda4
mount /dev/hda4

ако пак е празна ... пусни fsck readonly тест , да сканира за някакви грешки ... Странно , но най-вероятно /home да не е монтирано, макар и да го виждаме в df :?
Активен

Powered by Debian GNU / LINUX /// Intel inside ...

„Насилието е последното убежище на некомпетентността“ - Айзък Азимов (1920 — 1992)

Andronoff

  • Напреднали
  • *****
  • Публикации: 260
    • Профил
EMERGENCY!
« Отговор #9 -: Nov 09, 2004, 19:53 »
Това ще го пробвам ей сега. След по-задълбочено четене на един лог, разбрах, че тока е спирал сутринта около 6 часа, странно как, но машината ми е стартирала сама, никога не се е случвало да го направи. Възможно ли е като е спрял тока, да съм загубил информация от диска и ако е възможно, защо пък точно тази информация, неможеше ли да е темп директорията или някоя друга ?!  '<img'>  '<img'>
Активен

2 + 2 = 6 , for extremely large values of 2.

Andronoff

  • Напреднали
  • *****
  • Публикации: 260
    • Профил
EMERGENCY!
« Отговор #10 -: Nov 09, 2004, 20:00 »
SOLVED!!!

@the_real_maniac, братко, просто незнам как да ти се отблагодаря! Премаунтнах го и всичко си дойде на мястото! Длъжник съм ти! И все пак ми е интересно, как по дяволите стана това?!? Ако на някой му се обяснява, моля! Въпроса е приключен, благодаря за светкавичната помощ '<img'> На седмото небе съм, започвам да записвам дискове веднага! '<img'> Благодаря пак!!!
 '<img'>  '<img'>  '<img'>  '<img'>  '<img'>  '<img'>
Активен

2 + 2 = 6 , for extremely large values of 2.

empty

  • Напреднали
  • *****
  • Публикации: 893
  • Distribution: Gentoo
  • Window Manager: KDE
  • Alien Invader
    • Профил
    • WWW
EMERGENCY!
« Отговор #11 -: Nov 09, 2004, 20:52 »
Как искаш да си спокоен като я си виж аватара '<img'>
Днес си могъл да се снимаш и да се сложиш себе си за аватар.

А според мен може би е било прекъсване на тока за секунда и само го е рестартирал. И ако в момента нещо е работело в /home, може и от това да е. На мен ми се е случвало подобно нещо от Kget. При мен обаче проблема беше, че неможех да пиша в/у партицията. Ако си с Kget и ако си свалял нещо по това време на рестарт-а може и от него да е. Провери.
Активен

Powered by 220 Volts.

Andronoff

  • Напреднали
  • *****
  • Публикации: 260
    • Профил
EMERGENCY!
« Отговор #12 -: Nov 09, 2004, 21:03 »
С gFTp дърпах музика в /home и eggdrop-а вървеше оттам, плюс това и xmms беше на пауза, а музиката също е в /home '<img'> Абе общо взето всичко е в /home , на мен затова ми се ревеше '<img'>
Активен

2 + 2 = 6 , for extremely large values of 2.

the_real_maniac

  • Напреднали
  • *****
  • Публикации: 1258
  • Kernel panic, me - no panic ;-) :-)
    • Профил
EMERGENCY!
« Отговор #13 -: Nov 09, 2004, 23:00 »
Цитат (firebird @ Ноември 09 2004,21:00)
SOLVED!!!

@the_real_maniac, братко, просто незнам как да ти се отблагодаря! Премаунтнах го и всичко си дойде на мястото! Длъжник съм ти! И все пак ми е интересно, как по дяволите стана това?!? Ако на някой му се обяснява, моля! Въпроса е приключен, благодаря за светкавичната помощ '<img'> На седмото небе съм, започвам да записвам дискове веднага! '<img'> Благодаря пак!!!
 '<img'>  '<img'>  '<img'>  '<img'>  '<img'>  '<img'>

При възникнала грешка се предприемат действие ...
По подразбиране в debian за root има option remount -ro, т.е да го премонтира read-only.

При спирането на тока и последващо стартиране може да е възникнала някаква грешка при опит за mount-ване на партишъна и да е пропаднало.

Но в този случей би трябвало да ти я даде и при повторния опит/ръчно , не авт. в началото/, но знам ли '<img'> имам и продължение на теорията, защо не ти е показало съобщение, но само предположение ...

Абе нали работи  ':p'

Радвам се , че помогнах '<img'>
И аз съм се шашкал така, но при мен проблема беше друг , бях объркал номера на партишъна и се бях видял в чудо как така ми е изчезнал целия партишън '<img'>
Активен

Powered by Debian GNU / LINUX /// Intel inside ...

„Насилието е последното убежище на некомпетентността“ - Айзък Азимов (1920 — 1992)

PAIN1

  • Напреднали
  • *****
  • Публикации: 432
    • Профил
EMERGENCY!
« Отговор #14 -: Nov 09, 2004, 23:51 »
има вариант при много бърз токов удар пц-то ти да се рестартира ,а не да спре (случвало се е )
може да е сканирало и да е намерило някаква грешка във файловата система и да не е монтирало ( е те такоа животно не съм виждал би тряяло да спре и да чака инструкции и все пак ...)
но df без допълнителен флаг не показва немонтирани дялове ...... ?
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Proxmox влиза в emergency mode
Настройка на програми
nslave 2 1625 Последна публикация Apr 19, 2018, 13:23
от ray