Титла: Сървърът ли е хакнат
Публикувано от: mircata в Jun 19, 2007, 10:16
Сутринта като дойдох на работа, колегите от офиса ми казаха, че сървърът на фирмата не работи. Т.е MySQL и Firebird не отговаряли.
Реших да погледна и видях, че процесите са спрени. След като ги пуснах, излезе, че и пощата не работи. (qmail)
При пускане на PS показва следното нещо за пощата:
Докато гледах с top какво върви ми направи впечатление, че ъптайма на сървъра е 9 часа.
А беше над 400 дни, което ме наведе на мисълта, че е рестартирана машината.
last -20 показа нещо много странно. Имаше няколко връзки към фтп-то, след което са следните 2 реда:
На мен това ми прилича като на заличаване на ред от лога. Като, че ли някой е влезнал в машината, забърсал е лога, правил е каквото е правил и е рестартирал.
Човека, който администрира сървъра е в Германия.
Аз имам минимални познания по Linux, а администрирането ми е клонящо към 0-та.
Може ли да ми дадете съвети какво мога да направя за да проверя дали нещо е променено, намазано.
Дистрибуцията е Slackware 10.1.
Реших да погледна и видях, че процесите са спрени. След като ги пуснах, излезе, че и пощата не работи. (qmail)
При пускане на PS показва следното нещо за пощата:
| Примерен код |
| readproctitle service errors: ...not exist?svscan: warning: unable to stat qmail-smtpd: file does not exist?svscan: warning: unable to stat qmail-send: file does not exist?svscan: warning: unable to stat qmail-smtpd: file does not exist?svscan: warning: unable to stat qmail-send: file does not exist?svscan: warning: unable to stat qmail-smtpd: file does not exist?svscan: warning: unable to stat qmail-send: file does not exist? |
Докато гледах с top какво върви ми направи впечатление, че ъптайма на сървъра е 9 часа.
А беше над 400 дни, което ме наведе на мисълта, че е рестартирана машината.
last -20 показа нещо много странно. Имаше няколко връзки към фтп-то, след което са следните 2 реда:
| Примерен код |
| reboot system boot 2.4.31 Tue Jun 19 00:05 (08:47) ***,q<** **m*X<y****i *****F******X*** Sun Mar 29 06:30 - crash (-15660+-13: |
На мен това ми прилича като на заличаване на ред от лога. Като, че ли някой е влезнал в машината, забърсал е лога, правил е каквото е правил и е рестартирал.
Човека, който администрира сървъра е в Германия.
Аз имам минимални познания по Linux, а администрирането ми е клонящо към 0-та.
Може ли да ми дадете съвети какво мога да направя за да проверя дали нещо е променено, намазано.
Дистрибуцията е Slackware 10.1.
Титла: Сървърът ли е хакнат
Публикувано от: pink в Jun 19, 2007, 10:59
Ако FTP-то ти е prftpd, има remote excution flaw:
http://slackware.com/securit.....502491
Ако не си го пачнал - много вероятно да е пробив. Изключи машината и търси под дърво и камък човека от Германия дето администрира.
http://slackware.com/securit.....502491
Ако не си го пачнал - много вероятно да е пробив. Изключи машината и търси под дърво и камък човека от Германия дето администрира.
Титла: Сървърът ли е хакнат
Публикувано от: Желязко Желязков в Jun 19, 2007, 11:32
Няма смисъл да спираш машината ако ви трябва или е рутер истегли това ще провери за експлойти и некорктни логвания
rootcheck
rootcheck
Титла: Сървърът ли е хакнат
Публикувано от: mircata в Jun 19, 2007, 11:54
Да, FTP-to e proftpd. Сега ще говоря с колегата, който се е връзвал последно с FTP, какво е правил.
Титла: Сървърът ли е хакнат
Публикувано от: gat3way в Jun 19, 2007, 11:58
Айде да правим залози...според мен с 90% вероятност сървърът не е "хакнат". Така че ще заложа на "не е хакнат". Да залагаме по лев и с наградния фонд да почерпим спечелилите с бира 
Титла: Сървърът ли е хакнат
Публикувано от: pink в Jun 19, 2007, 12:10
Аз залагам на "хакнат". Обновяването на Slackware с пакет е кошмар за всеки администратор. 10.1 е твърде стара версия, публичен FTP сървър е примамлва плячка, особено ако има пропуск в сигурността.
Титла: Сървърът ли е хакнат
Публикувано от: pink в Jun 19, 2007, 12:14
| Цитат (mircata @ Юни 19 2007,11:54) |
| Да, FTP-to e proftpd. Сега ще говоря с колегата, който се е връзвал последно с FTP, какво е правил. |
Коя версия е? Може да разбереш като напишаш "proftpd --version" (като root най вероятно)
Титла: Сървърът ли е хакнат
Публикувано от: VladSun в Jun 19, 2007, 12:28
/off
Хъх?!?
За мен не е => твоето твърдение е лъжа
| Цитат (pink @ Юни 19 2007,12:10) |
| Обновяването на Slackware с пакет е кошмар за всеки администратор. |
Хъх?!?
За мен не е => твоето твърдение е лъжа
Титла: Сървърът ли е хакнат
Публикувано от: Желязко Желязков в Jun 19, 2007, 12:32
| Цитат (pink @ Юни 19 2007,13:10) |
| Обновяването на Slackware с пакет е кошмар за всеки администратор. |
Това е най голямата глупост която съм чужал от 3 - 4 години
сорри пичТитла: Сървърът ли е хакнат
Публикувано от: pink в Jun 19, 2007, 12:38
| Цитат (VladSun @ Юни 19 2007,12:28) |
| /off Хъх?!? За мен не е => твоето твърдение е лъжа |
"Аз винаги лъжа"
Моя опит показва, че upgrade до по нова версия слакуер, няколко неща спират да работят. Напр. преди време инсталирах слак 10 мисля и KDE спря да работи защото липсваше някакви библиотека cyrus (нещо от сорта). Съжелявам VladSun и jackie - глупост или не, това е така (за мен)
Титла: Сървърът ли е хакнат
Публикувано от: gat3way в Jun 19, 2007, 12:39
Според мен init процеса е segfault-нал. Просто симптомите са много сходни някак си А и не знам кой ще е този зъл хахор дето ще омаже така wtmp че и на всичкото отгоре после ще рестартира сървъра - трябва да е някакъв пълен олигофрен според мен
А и не знам кой ще е този зъл хахор дето ще омаже така wtmp че и на всичкото отгоре после ще рестартира сървъра - трябва да е някакъв пълен олигофрен според мен Титла: Сървърът ли е хакнат
Публикувано от: Желязко Желязков в Jun 19, 2007, 12:46
А е доста детинско взе да става няма значение каква е дистрибуцията всяка си има своите предимства и недостатаци човека има проблем и можете да дадете някакъв по свестен отговор от глупави забилежки за пакети и т.н
Титла: Сървърът ли е хакнат
Публикувано от: VladSun в Jun 19, 2007, 12:56
| Цитат (gat3way @ Юни 19 2007,12:39) |
| Според мен init процеса е segfault-нал. Просто симптомите са много сходни някак си А и не знам кой ще е този зъл хахор дето ще омаже така wtmp че и на всичкото отгоре после ще рестартира сървъра - трябва да е някакъв пълен олигофрен според мен |
Съгласен
Титла: Сървърът ли е хакнат
Публикувано от: mhydra в Jun 19, 2007, 12:59
преди известно време имах един познат дето имаше много интересен случай.
значи хакера беше ползвал някакъв бъг с ирц. основното което беше направил е че беше заменил репотата на федората и при последващо инсталиране на неща директно се качват хакнати пакети. много хитро
значи хакера беше ползвал някакъв бъг с ирц. основното което беше направил е че беше заменил репотата на федората и при последващо инсталиране на неща директно се качват хакнати пакети. много хитро
Титла: Сървърът ли е хакнат
Публикувано от: Invincible в Jun 19, 2007, 13:24
А пък на мен ми е много чудно кой си слага SlackWare за сървър. Има 3 дистрибуции които стават за сериозен сървър според мен и това са - Debian , RedHat и Suse. Ако искаш да имаш съпорт и да не се чудиш как да намериш админстратора, а да звъннеш на някой да му кажеш какъв ти е проблема и да ти помогне купуваш и си слагаш RedHat или Suse и готово.
П.П. Нищо не гарантира, че позването на тези 3 дистрибуции те предпазва на 100% от хакване.
П.П. Нищо не гарантира, че позването на тези 3 дистрибуции те предпазва на 100% от хакване.
Титла: Сървърът ли е хакнат
Публикувано от: mhydra в Jun 19, 2007, 13:32
абе айде пък специално пък сусе майни. ама виж дебиан и редхат да. то под редхат имам предвид и центос че и федора даже. виж сусе е прекалено нежно за сървър а и е бавно.
Титла: Сървърът ли е хакнат
Публикувано от: gat3way в Jun 19, 2007, 13:41
Няма ли някой друг доктор Хаус да се включи в залагането? Трябва да съберем поне 10-20 лева, иначе кво ебаси - няма минерална вода да се пие
Титла: Сървърът ли е хакнат
Публикувано от: Желязко Желязков в Jun 19, 2007, 16:26
| Цитат (Invincible @ Юни 19 2007,14:24) |
| А пък на мен ми е много чудно кой си слага SlackWare за сървър. Има 3 дистрибуции които стават за сериозен сървър според мен и това са - Debian , RedHat и Suse. Ако искаш да имаш съпорт и да не се чудиш как да намериш админстратора, а да звъннеш на някой да му кажеш какъв ти е проблема и да ти помогне купуваш и си слагаш RedHat или Suse и готово. П.П. Нищо не гарантира, че позването на тези 3 дистрибуции те предпазва на 100% от хакване. |
Това че не можеш да се оправяш с някоя операциона система или дистибуция не значи че не е добра всичко е до разбиране и акъл сорри пич ама такива пртиказки това става и това не става са глупави можеш да използваш и freesco или някой хардуерен рутер ама като не разбираш естествено ще кажеш не става
Титла: Сървърът ли е хакнат
Публикувано от: Йордан в Jun 19, 2007, 16:31
Приятели, всички губите в спора. ВИНАГИ е виновно su 
Титла: Сървърът ли е хакнат
Публикувано от: Желязко Желязков в Jun 19, 2007, 16:48
| Цитат (GigaVolt @ Юни 19 2007,17:31) |
| Приятели, всички губите в спора. ВИНАГИ е виновно su |
Напълно съгласен
Титла: Сървърът ли е хакнат
Публикувано от: mircata в Jun 19, 2007, 17:22
Друго предположение, откъде е влезнато е webmin.
Засега, човека които се занимава в момента със сървъра взе да го преглежда и намери, че туй нещо има отворен порт за perl !?
Засега, човека които се занимава в момента със сървъра взе да го преглежда и намери, че туй нещо има отворен порт за perl !?
Титла: Сървърът ли е хакнат
Публикувано от: Йордан в Jun 19, 2007, 17:26
| Цитат (mircata @ Юни 19 2007,17:22) |
| Друго предположение, откъде е влезнато е webmin. Засега, човека които се занимава в момента със сървъра взе да го преглежда и намери, че туй нещо има отворен порт за perl !? |
Демек su
Титла: Сървърът ли е хакнат
Публикувано от: alabal в Jun 19, 2007, 20:33
Братя, радва ме доброто настроение и склонността за поемане на риск, но все пак още не сме пуснали онлайн залагания по сайта. Освен това, мисля че форума прелива от теми за това коя дистрибуция е по-по-най!
Имаше и конкретен въпрос (някъде в началото на първа страница)! Та!
Укротете логореята си, братя, и отговаряйте по-конкретно. Има няколко раздела където можете да спорите относно сигурността на дистрибуциите до схващане на пръстите.
Всяко следващо съобщение не по темата ще бъде изтривано!
Имаше и конкретен въпрос (някъде в началото на първа страница)! Та!
Укротете логореята си, братя, и отговаряйте по-конкретно. Има няколко раздела където можете да спорите относно сигурността на дистрибуциите до схващане на пръстите.
Всяко следващо съобщение не по темата ще бъде изтривано!
Титла: Сървърът ли е хакнат
Публикувано от: VladSun в Jun 19, 2007, 20:36
| Цитат (mircata @ Юни 19 2007,17:22) |
| Друго предположение, откъде е влезнато е webmin. Засега, човека които се занимава в момента със сървъра взе да го преглежда и намери, че туй нещо има отворен порт за perl !? |
Пробвай с това:
http://milw0rm.com/exploits/2017
за да провериш дали е така ...