Skocz do zawartości

Polecane posty

Mam problem z ciągłymi włamaniami na VPS. Ktoś loguje się przez tor (tor6.anonymizer.ccc.de) i wrzuca ogromne pliki z filmami. Drze transfer i naraża mnie na ryzyko. Zmiana haseł nie pomaga, dlatego moje pytanie w jaki sposób on wchodzi i tworzy ukryte katalogi do których wrzuca pliki. Skąd ma jakieś dane i w jaki sposób mam się zabezpieczyć.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jeżeli masz stałe ip, to możesz zablokować inne ip. Wtedy połączenia poprzez ssh będą możliwe tylko dla ciebie. Możesz też ustawić port ssh, na bardzo wysoki np 9999.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

przejrzyj albo wstaw tu logi.... no raczej nikt wróżką nie jest...gdzie Ci wrzuca te filmy? co to znaczy "loguje się" ? może masz serwer FTP skonfigurowany żeby przyjmował anonimowych użytkowników? może hasła są zbyt słabe? to tylko domysły... przejrzyj logi i zobacz jak wrzuca te filmy, gdzie... i napisz co znalazłeś to wtedy może uda Ci się pomóc

Edytowano przez pietrovek (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Pokaż nam logi z /var/log/auth.log i /var/log/syslog

Napisz dokładnie jakie masz usługi aktywne na serverze.

 

Domyślam się, że masz sambe zainstalowaną i ładuje ci się właśnie przez nią.

Większość templatów pod VZ mają zainstalowane sambe.

w /etc/passwd postawiaj na /bin/false lub /bin/nologin dla tych usług, które nie mają mieć dostępu do powłoki.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Na serwerze jest FTP teraz zatrzymałem bo i tak nie używam, a nie wiem jak jest ustawione. Dodatkowo apache2.

 

Powłoka:

 

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
postfix:x:101:104::/var/spool/postfix:/bin/false
sshd:x:102:65534::/var/run/sshd:/usr/sbin/nologin
sophaed:x:0:0:root:/root/ts3:/bin/bash
messagebus:x:103:108::/var/run/dbus:/bin/false
system:x:0:0::/home/system:/bin/sh

 

syslog

http://wklej.org/id/755424/

 

auth.log

http://wklej.org/id/755426/

Edytowano przez lord101 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zakładałeś konto o nazwie system ?

Poza tym masz hacka

 

 

sophaed:x:0:0:root:/root/ts3:/bin/bash

 

Proponuje reinstall systemu bo pewnie backdoor już siedzi i zainstalować fail2ban.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Po co ma to robić? skoro jest konto z uid 0 dla loginu system a on sam go nie zrobił?

Reinstall i po sprawie zanim ktoś bardziej narobi smrodu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Teraz nie sprawdzę kto mógł dodać, bo tych plików już nie ma.

 

Ale są wrzucane do:

bin

boot

dev

etc

home

liv

media

mnt

opt

proc

root

sbin

selinux

srv

sys

tmp

usr

var

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

IMO to owym źródłem może być owy kolega-admin TS.

PS: W epoce sudo, kluczy SSH itp. to tworzenie dodatkowego loginu dla UID=0 to średnio uzasadniony pomysł.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

A nie masz przypadkiem jakiegoś syfu u siebie na komputerze?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Możesz jeszcze pokazać (jeżeli reinstallu nie zrobiłeś) nasłuch portów wszystkich netstat -nat i jakie są załadowane moduły kernela lsmod

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

rkhunter, chkrootkit

 

temat rzeka, patrz na prawa z jakimi sa te pliki, jaki user, grupa itd, kiedy utworzone, szukaj w logach co jest w tej minucie itd

Edytowano przez B0FH (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

pliki to:

Game.of.Thrones.S02E08.720p.HDTV.x264-IMMERSE.tar 4:20 czasu francuskiego

Game.of.Thrones.S02E08.HDTV.x264-ASAP.tar 4:21 czasu francuskiego

 

znajduja sie tu:

http://www.xweasel.org/Search.php?Description=game%20of%20thrones%20s02e08&Sorting=1&Opt=1

 

Tylko jak sprawdzić do jakiego użytkownika należą pliki?

 

pliki to:

Game.of.Thrones.S02E08.720p.HDTV.x264-IMMERSE.tar 4:20 czasu francuskiego

Game.of.Thrones.S02E08.HDTV.x264-ASAP.tar 4:21 czasu francuskiego

 

znajduja sie tu:

http://www.xweasel.org/Search.php?Description=game%20of%20thrones%20s02e08&Sorting=1&Opt=1

 

Tylko jak sprawdzić do jakiego użytkownika należą pliki?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki za szybką odpowiedź, wyszło na to ze root, ale jest inna godzina, obstawiam ze początku wrzucania. Co teraz zrobić? Reinstall?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Reinstall będzie najlepszym rozwiązaniem w tym wypadku. Jednak po reinstalacji wykonaj niezbędne kroki mające na zabezpieczeniu serwera. Pamiętaj o backupie aplikacji :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×