Тази история отдавна ми тежи на сърцето и днес реших да разпределя товара й и върху други хора
(честно казано такива неща съм гледал по филмите и ми бяха много смешни до този момент)
Преди около 2-3 години (когато още не бях пипал Линукс) плащахме на един човек за да администрира сървера ни - НАТ, шейпър и т.н. за разпределяне на Интернет. Постепенно почнах да си пипкам тук-там
'> и горе-долу бях схванал общите положения за работа с Линукс (голяма радост беше да разбера как се инсталират приложения).
Един ден реших, че системата ни за контрол над потребителите - уеб-базирана - не ни върши достатъчно добра работа и реших да я опоправя малко (поне от програмиране разбирах повече), но ми трябваше root-паролата за MySQL. Обадих се на въпросния сис-админ, но той твърдо отказа да ми я даде!?! След много мъки и четене установих, че има пуснат webadmin?!? и през него успях да си сменя паролата.
По случай поведението на сисадмина, реших да сменя всички пароли за достъп до сървера и услугите на него.
В един прекрасен момент установих, че имаме проблеми с локалната мрежа ... няма да ви занимавам с процеса на търсене на проблема, а само с резултата от него:
открих, че е пусната някаква програмка, която според man-а й трябва да върши някаква работа по ХДД-то, при това трябва да е бинарен файл - уви, файла беше скриптов и се самоизвикваше на всеки 500 сек и кода му беше нещо от сорта на:
arp -d randomIP
и така 20 реда. При това кода беше съобразен със съществуването на файла с МАК-ИП чифтовете (разположен в нестандартна директория). С други думи беше ясно, че някой, който знае как работи системата е влязъл с root права и е направил мизерията. Можете сами да си представите ефекта от изпълнението на този скрипт.
На всичко отгоре скрипта се извикваше от rc.modules (забито някъде измежду редовете).
Спрях гадния скрипт, рестартирах за всеки случай и почнах да оглеждам системата за други пробиви. Първия беше очевАден - след влизането ми с SSH пишеше:
Last login from gotti.mreja.net .... няма нужда от коментар ...
#users също показа още един активен root потребител в сървера
Отворих /etc/passwd и намерих потребител
top:x:0:0::/root:/bin/bash
Махнах потребителя и убих SSH сесията на другия потребител.
Почнах да преглеждам bash history-то на root (естествено тъпчото не си беше и направил труда да заличи следите си). Още на първите няколко реда ми се изправи косата - то не бяха сваляне и инсталиране на rootkits, blackhole и т.н. Точно бях почнал да си записвам и да трия, когато стана страшно - сесията ми се затвори, свързах се наново, съответно аз убих сесията на другия root (тука вече тече "филмовата" част) и изтрих наново някакъв друг потребител с 0:0 gid/uid. Започнах да се чудя (с тогавашните ми мин. познания по Линукс и при липсата на физически достъп до сървера) как да спра SSH-a отвън, когато пак бях изхвърлен. Влязох наново, но този път вече не си виждах промп-та, ls не даваше нищо. Все пак mcedit /etc/passwd проработи - отново триене на потребител, килване и отново след 10 сек. бях изхвърлен (м/у другото през цялото време му звънях на GSM-a на тъпото копеле, но той не вдигаше). При последното ми влизане вече всичко беше read only и не ми оставаше нищо друго освен да гледам безучастно .....
На другия ден следваше инсталиране на сървера наново (след формат) и лека-полека докарването му в начално работоспособно състояние - не пожелавам на никой да учи Линукс мрежова администрация толкова скорострелно.
От сегашна моя гледна, точка единственото ми правилно действие в описаната ситуация беше априорно - бях архивирал cgi-bin директорията на сървера (за тази система пак му бяхме дали пари).
За тези, които още не са разбрали - сисадмина е собственикът на mreja.net - Интернет по лан - Мартин.
Искрено ви съветвам да нямате нищо общо с него !!!
Автор
Тема: "Системен администратор" (Прочетена 3088 пъти)
May 25, 2003, 11:27