Linux за българи: Форуми

Беше качен shell на web сървъра ми който аз не бях забелявал в продължение на 4,5 дена, което е дало предостатачно време на хакера да роотне сървъра (debian) ядрото не беше UP-вано до последната версия така, че не се е задруднил грам.

Проблема е следния дал си е root права на user, който аз не мога да виждам след като напиша примерно: w и не мога да видя user-a с който се е логнал погледнах в процесире и гледам su backup (да имаше роот права)
оправих го на бързо като го киллнах и смених паролата.
Но проблема е че пак има достап спрях напълно сървъра за сега кажете ако имате някакви идей.

1 приятел ми каза, че е качен (вирус/червей), който прави така, че дава права на "nick" и си има дори собствен отворен порт с който си влиза и няма никакви ядове да прави квито си иска мизерии.
Така, когато опитах да видя къде се намират профилните файлове  ( или не знам как се казват) на съответния потребител те не са в директорията /home както моя ами липсват даже, когато се логнах с усер-а backup ми казваше, че директорията, на която се запазват history (командите, които са изпълнявани) се оказа, че са на моя потребител, който ползвам а нямаше нали backup раздел.

Swuifti Защо не прегледаш с някой текстов редактор /etc/passwd за известни странности.
Също и да пуснеш firewall на портовете които не ти трябват.
Update до по-нов kernel също ще е добре да направиш според мен, както и на сървърните си приложения.

Skype имаш ли ?

Не е толкова лесно колкото си мислиш ...

Не нямам, съжалявам.
Пиши във форума, ако аз не мога да помогна то ще има някой който се е сблъсквал с такъв проблем и ще помогне.
П.с.
Щом казваш, че не е толкова просто то напиши какво точно си опитвал за да отстраниш проблема за да се стесни кръга на възможностите.

Може да се пусне chkrootkit и rkhunter. Това трябва да е само временно - машината трябва да се преинсталира, защото веднъж с root, страшно много (и интересни) неща могат да се покрият.

Недей им вярва на неща като rkhunter и chkrootkit, те търсят определени сигнатури някъде си, демек освен ако лошите не използват някакви публично-достъпни rootkits, нищо няма да открият. Ако хахорът има акъл в главата, няма да ги ползва, обаче вероятно няма много акъл в главата, щом си разбрал че се вре дето не му е работа.

Преинсталация - без алтернатива!

Погледни за публични ключове да няма.  Лично аз ако влезна с друга машина ще си направя   клуч с който да влизам без парола. Поглени и /root/.bashrc  какво има там поглени послени логвания пусни си няколко мониторинга да видиш кое и кога се активира    като имаш бекъп  поглени им логовете за последните дни и тн. Щом сега си имаш контрол нещата могат да се оравят , но ако не е някой голям сървър преинсталирай го.

bash_logout-a беше бутнат да трие wtmp. Това обаче е малка част от всичките лайна, които са натворили келешите на тая машина.

bash_logout-a беше бутнат да трие wtmp. Това обаче е малка част от всичките лайна, които са натворили келешите на тая машина.

Я дай повече инфо какво са правили ,че ми е интересно.

Ем едно уеб приложение е счупено, качен е шел, качен е експлойт за ядрото, машината е root-ната и оттам мизериите са огромни и очевидно няколко човека се бяха постарали. Имаше инсталирана няква версия на lrk дето троянизира разни binaries. Тамън успях да помажа достатъчно много от тях с оригиналната версия и при следващият reboot нещо, което не успях да открия, въпреки че изръчках цялата init система, ходеше да ги маже пак. Накрая ми писна и ги направих immutable, което е ммм странен вариант, ма работи. Няколко системни акаунта бяха с парола (бяха забравили да си трият bash history-тата ехех). Естествено логовете презаписани с нули и изтрити. Тук-там намирам някое парче от хахорския инструментариум - имаше udp flooder-и, скенери за дефолтски ssh пароли (и един малък лог файл със счупени такива на разни хостове), кила глупости. Цял ден си играхме да го гледаме тва, такъв кенеф не бях виждал много отдавна. Ако знаех че ще е чак така деазнам, щях да съм съгласен за преинсталацията. On the brighter side, системата не беше бекдоорната по зъл начин, нямаше мазани динамични библиотеки и нямаше зли kernel модули. On a darker side, няма как да съм 100% сигурен, но да речем съм сигурен повече от 99% :) sshd между другото беше троянизиран да пуска с тайни пароли. grep отваря reverse bindshell към някъв хост, въобще красота.

Да попитам само какъв беше тоя сървър, че са се старали толкова много да го омазват. Или просто Swuifti има лични недоброжелатели :)

Да попитам само какъв беше тоя сървър, че са се старали толкова много да го омазват. Или просто Swuifti има лични недоброжелатели :)

Хайде сега теории на конспирацията... Като налети една тълпа аматьори да ти съсипва къщата ще ти потрошат чиниите и ще расипят кетчуп по килима, а няма примерно "да ти сложат шапката" като в "Баш майстора". Никой нищо не се е старал, правили са каквото са могли (което явно не е много). Отпечатъци няма нужда да се търсят, достатъчни са калните следи от обувки.

ПП Ако ще го изследвате още направете си образ на диска. И го преинсталирайте най-накрая, че да приключим и темата и подозренията на админа за в бъдеще.

Просто хората завиждат, но "Нека лапат, нека драпат, нека псуват и зяпат, и нека да с**** и цапат, нека ни излезе име"

Абе Swuifti тази тема е от Март 2010. Много закъсня с коментара. Весело посрещане на Новата 2012 година.