Автор Тема: "Системен администратор"  (Прочетена 2430 пъти)

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
"Системен администратор"
« -: Dec 28, 2005, 14:23 »
Тази история отдавна ми тежи на сърцето и днес реших да разпределя товара й и върху други хора ':p' (честно казано такива неща съм гледал по филмите и ми бяха много смешни до този момент)
Преди около 2-3 години (когато още не бях пипал Линукс) плащахме на един човек за да администрира сървера ни - НАТ, шейпър и т.н. за разпределяне на Интернет. Постепенно почнах да си пипкам тук-там '<img'> и горе-долу бях схванал общите положения за работа с Линукс (голяма радост беше да разбера как се инсталират приложения).
Един ден реших, че системата ни за контрол над потребителите - уеб-базирана - не ни върши достатъчно добра работа и реших да я опоправя малко (поне от програмиране разбирах повече), но ми трябваше root-паролата за MySQL. Обадих се на въпросния сис-админ, но той твърдо отказа да ми я даде!?! След много мъки и четене установих, че има пуснат webadmin?!? и през него успях да си сменя паролата.
По случай поведението на сисадмина, реших да сменя всички пароли за достъп до сървера и услугите на него.
В един прекрасен момент установих, че имаме проблеми с локалната мрежа ... няма да ви занимавам с процеса на търсене на проблема, а само с резултата от него:
открих, че е пусната някаква програмка, която според man-а й трябва да върши някаква работа по ХДД-то, при това трябва да е бинарен файл - уви, файла беше скриптов и се самоизвикваше на всеки 500 сек и кода му беше нещо от сорта на:
arp -d randomIP
и така 20 реда. При това кода беше съобразен със съществуването на файла с МАК-ИП чифтовете (разположен в нестандартна директория). С други думи беше ясно, че някой, който знае как работи системата е влязъл с root права и е направил мизерията. Можете сами да си представите ефекта от изпълнението на този скрипт.
На всичко отгоре скрипта се извикваше от rc.modules (забито някъде измежду редовете).
Спрях гадния скрипт, рестартирах за всеки случай и почнах да оглеждам системата за други пробиви. Първия беше очевАден - след влизането ми с SSH пишеше:
Last login from gotti.mreja.net .... няма нужда от коментар ...
#users също показа още един активен root потребител в сървера
Отворих /etc/passwd и намерих потребител
top:x:0:0::/root:/bin/bash
Махнах потребителя и убих SSH сесията на другия потребител.
Почнах да преглеждам bash history-то на root (естествено тъпчото не си беше и направил труда да заличи следите си). Още на първите няколко реда ми се изправи косата - то не бяха сваляне и инсталиране на rootkits, blackhole и т.н. Точно бях почнал да си записвам и да трия, когато стана страшно - сесията ми се затвори, свързах се наново, съответно аз убих сесията на другия root (тука вече тече "филмовата" част) и изтрих наново някакъв друг потребител с 0:0 gid/uid. Започнах да се чудя (с тогавашните ми мин. познания по Линукс и при липсата на физически достъп до сървера) как да спра SSH-a отвън, когато пак бях изхвърлен. Влязох наново, но този път вече не си виждах промп-та, ls не даваше нищо. Все пак mcedit /etc/passwd проработи - отново триене на потребител, килване и отново след 10 сек. бях изхвърлен (м/у другото през цялото време му звънях на GSM-a на тъпото копеле, но той не вдигаше). При последното ми влизане вече всичко беше read only и не ми оставаше нищо друго освен да гледам безучастно .....
На другия ден следваше инсталиране на сървера наново (след формат) и лека-полека докарването му в начално работоспособно състояние - не пожелавам на никой да учи Линукс мрежова администрация толкова скорострелно.
От сегашна моя гледна, точка единственото ми правилно действие в описаната ситуация беше априорно - бях архивирал cgi-bin директорията на сървера (за тази система пак му бяхме дали пари).
За тези, които още не са разбрали - сисадмина е собственикът на mreja.net - Интернет по лан - Мартин.
Искрено ви съветвам да нямате нищо общо с него !!!
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

sverdlov

  • Напреднали
  • *****
  • Публикации: 351
    • Профил
"Системен администратор"
« Отговор #1 -: Dec 28, 2005, 14:40 »
WOW
Някви договори подписани? Няма ли закони в тая държава?
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
"Системен администратор"
« Отговор #2 -: Dec 28, 2005, 15:05 »
Договори естествено нямаше '<img'>
Нали знаеш - "имам един познат, който ще ти свърши работа" ...

И преди лафа "като за приятели" не ми звучеше добре, ама след този случай ....
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

  • Гост
"Системен администратор"
« Отговор #3 -: Dec 28, 2005, 16:09 »
AllowUsers в конфига на sshd_config щеше да ти спести всичките тези главоболия '<img'>
както и един ред в iptables aма нали си бил начинаещ ... простено ти е '<img'>
Активен

VladSun

  • Напреднали
  • *****
  • Публикации: 2166
    • Профил
"Системен администратор"
« Отговор #4 -: Dec 28, 2005, 16:22 »
'<img'>
Въпросът не е толкова технически, колкото морален - все пак за тази работа му се плащаше ...

А пък да не говорим за "хакерските" му умения - "хакът" му почва от root достъп '<img'>

Иначе сега, то не са SNORT, Nessus, NMAP, firewall, то не е чудо !
 '<img'>
Активен

KISS Principle ( Keep-It-Short-and-Simple )
http://openfmi.net/projects/flattc/
Има 10 вида хора на този свят - разбиращи двоичния код и тези, които не го разбират :P

  • Гост
"Системен администратор"
« Отговор #5 -: Dec 28, 2005, 16:45 »
Цитат (VladSun @ Дек. 28 2005,17:22)
'<img'>
Въпросът не е толкова технически, колкото морален - все пак за тази работа му се плащаше ...

А пък да не говорим за "хакерските" му умения - "хакът" му почва от root достъп '<img'>

Иначе сега, то не са SNORT, Nessus, NMAP, firewall, то не е чудо !
 '<img'>

'<img'>
Активен

  • Гост
"Системен администратор"
« Отговор #6 -: Jan 21, 2006, 17:20 »
Най-добре да си се оправил по стария и изпитан bruteforce метод - хващаш една тръба цол-цол и половина и биеш докато мърда. Може да bruteforce-неш и неговото РС та да знае кое как се прави.
Активен

  • Гост
"Системен администратор"
« Отговор #7 -: Jan 22, 2006, 13:46 »
Все ми се струва, че можеше да събереш достатъчно логове и да го заплашиш със съд, щеше да се насере горкия..
Активен

mhydra

  • Напреднали
  • *****
  • Публикации: 715
  • Distribution: Fedora, Mandriva
  • Window Manager: GNOME
    • Профил
"Системен администратор"
« Отговор #8 -: Jan 23, 2006, 14:27 »
Абе събираш логове и всички неща които го уличават и ги отнасяш в полицията. Там завеждаш жалба срещу него.
Ми че той по такъв начин ти е източил всичката важна информация която си имал, било то проекти, клиенти.
Това е корпоративна информация струваща крупна сума.
За това нещо с добър адвокат си могъл да го вкараш в затвора.
Това си е корпоративен шпионаж и кражба на интелектуална собственост.
Още повече ако имаш и важна информация за голями клиенти.
Активен

Указвам помощ за всичко свързано с Fedora и Мандрива.
Може да ме търсите на ICQ.

  • Гост
"Системен администратор"
« Отговор #9 -: Jan 23, 2006, 16:55 »
Ама те логовете признават ли ги за доказателства??
Преди време чувах, че отказвали да признаят разпечатка от БТК за доказателство.
Активен

mhydra

  • Напреднали
  • *****
  • Публикации: 715
  • Distribution: Fedora, Mandriva
  • Window Manager: GNOME
    • Профил
"Системен администратор"
« Отговор #10 -: Jan 24, 2006, 16:45 »
Нали знаеш че българия е страната на възможностите, тук всичко е възможно.
По принцип се пазят и логове и всичко останало което може да доведе до извършителя на деянието.
Обаче много трудно се доказва че е именно той.

В случая този човек е имал достъп до машината и е потенциален заподозрян, а като се види че е влизъл от друго място и е извършил действия  без разрешение вината му е почти доказана.
 '<img'>
Активен

Указвам помощ за всичко свързано с Fedora и Мандрива.
Може да ме търсите на ICQ.

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
"Grub" sled preinstalacia na Windows
Настройка на програми
merman 1 2334 Последна публикация May 25, 2003, 11:27
от wandererbg
HDD ext3 recover, "Stellar Phoenix Linux" ??
Настройка на хардуер
help40 3 4713 Последна публикация Sep 20, 2012, 21:51
от Acho
"paskal case" / "camel case"
Общ форум
Apache 3 4954 Последна публикация Aug 11, 2006, 10:01
от ivak
Проблем с "struct cdev" и "struct semaphore"
Общ форум
halturata 22 9474 Последна публикация Aug 14, 2007, 17:31
от tarator
Проблем с "reboot", "halt" и т.н.
Настройка на програми
turboshark 5 5082 Последна публикация Sep 22, 2007, 00:13
от turboshark