lord101 18 Zgłoś post Napisano Maj 18, 2012 Mam problem z ciągłymi włamaniami na VPS. Ktoś loguje się przez tor (tor6.anonymizer.ccc.de) i wrzuca ogromne pliki z filmami. Drze transfer i naraża mnie na ryzyko. Zmiana haseł nie pomaga, dlatego moje pytanie w jaki sposób on wchodzi i tworzy ukryte katalogi do których wrzuca pliki. Skąd ma jakieś dane i w jaki sposób mam się zabezpieczyć. Udostępnij ten post Link to postu Udostępnij na innych stronach
sylver 12 Zgłoś post Napisano Maj 18, 2012 Jeżeli masz stałe ip, to możesz zablokować inne ip. Wtedy połączenia poprzez ssh będą możliwe tylko dla ciebie. Możesz też ustawić port ssh, na bardzo wysoki np 9999. Udostępnij ten post Link to postu Udostępnij na innych stronach
pietrovek 19 Zgłoś post Napisano Maj 18, 2012 (edytowany) przejrzyj albo wstaw tu logi.... no raczej nikt wróżką nie jest...gdzie Ci wrzuca te filmy? co to znaczy "loguje się" ? może masz serwer FTP skonfigurowany żeby przyjmował anonimowych użytkowników? może hasła są zbyt słabe? to tylko domysły... przejrzyj logi i zobacz jak wrzuca te filmy, gdzie... i napisz co znalazłeś to wtedy może uda Ci się pomóc Edytowano Maj 18, 2012 przez pietrovek (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
furek 37 Zgłoś post Napisano Maj 18, 2012 Pokaż nam logi z /var/log/auth.log i /var/log/syslog Napisz dokładnie jakie masz usługi aktywne na serverze. Domyślam się, że masz sambe zainstalowaną i ładuje ci się właśnie przez nią. Większość templatów pod VZ mają zainstalowane sambe. w /etc/passwd postawiaj na /bin/false lub /bin/nologin dla tych usług, które nie mają mieć dostępu do powłoki. Udostępnij ten post Link to postu Udostępnij na innych stronach
lord101 18 Zgłoś post Napisano Maj 18, 2012 (edytowany) Na serwerze jest FTP teraz zatrzymałem bo i tak nie używam, a nie wiem jak jest ustawione. Dodatkowo apache2. Powłoka: root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh postfix:x:101:104::/var/spool/postfix:/bin/false sshd:x:102:65534::/var/run/sshd:/usr/sbin/nologin sophaed:x:0:0:root:/root/ts3:/bin/bash messagebus:x:103:108::/var/run/dbus:/bin/false system:x:0:0::/home/system:/bin/sh syslog http://wklej.org/id/755424/ auth.log http://wklej.org/id/755426/ Edytowano Maj 18, 2012 przez lord101 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
furek 37 Zgłoś post Napisano Maj 18, 2012 Zakładałeś konto o nazwie system ? Poza tym masz hacka sophaed:x:0:0:root:/root/ts3:/bin/bash Proponuje reinstall systemu bo pewnie backdoor już siedzi i zainstalować fail2ban. Udostępnij ten post Link to postu Udostępnij na innych stronach
lord101 18 Zgłoś post Napisano Maj 19, 2012 system nie ale sophaed tak, to mój administrator od TS3 z rootem Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Zgłoś post Napisano Maj 19, 2012 (edytowany) Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
furek 37 Zgłoś post Napisano Maj 19, 2012 Po co ma to robić? skoro jest konto z uid 0 dla loginu system a on sam go nie zrobił? Reinstall i po sprawie zanim ktoś bardziej narobi smrodu. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Zgłoś post Napisano Maj 19, 2012 (edytowany) Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
lord101 18 Zgłoś post Napisano Maj 19, 2012 Teraz nie sprawdzę kto mógł dodać, bo tych plików już nie ma. Ale są wrzucane do: bin boot dev etc home liv media mnt opt proc root sbin selinux srv sys tmp usr var Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Maj 19, 2012 IMO to owym źródłem może być owy kolega-admin TS. PS: W epoce sudo, kluczy SSH itp. to tworzenie dodatkowego loginu dla UID=0 to średnio uzasadniony pomysł. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Zgłoś post Napisano Maj 19, 2012 (edytowany) Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
lord101 18 Zgłoś post Napisano Maj 19, 2012 Włamania mam od 3tygodni, a administratora TS3 od 1tygodnia.... Udostępnij ten post Link to postu Udostępnij na innych stronach
HaPe 242 Zgłoś post Napisano Maj 19, 2012 A nie masz przypadkiem jakiegoś syfu u siebie na komputerze? Udostępnij ten post Link to postu Udostępnij na innych stronach
furek 37 Zgłoś post Napisano Maj 20, 2012 Możesz jeszcze pokazać (jeżeli reinstallu nie zrobiłeś) nasłuch portów wszystkich netstat -nat i jakie są załadowane moduły kernela lsmod Udostępnij ten post Link to postu Udostępnij na innych stronach
B0FH 3 Zgłoś post Napisano Maj 20, 2012 (edytowany) rkhunter, chkrootkit temat rzeka, patrz na prawa z jakimi sa te pliki, jaki user, grupa itd, kiedy utworzone, szukaj w logach co jest w tej minucie itd Edytowano Maj 20, 2012 przez B0FH (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
lord101 18 Zgłoś post Napisano Maj 21, 2012 pliki to: Game.of.Thrones.S02E08.720p.HDTV.x264-IMMERSE.tar 4:20 czasu francuskiego Game.of.Thrones.S02E08.HDTV.x264-ASAP.tar 4:21 czasu francuskiego znajduja sie tu: http://www.xweasel.org/Search.php?Description=game%20of%20thrones%20s02e08&Sorting=1&Opt=1 Tylko jak sprawdzić do jakiego użytkownika należą pliki? pliki to: Game.of.Thrones.S02E08.720p.HDTV.x264-IMMERSE.tar 4:20 czasu francuskiego Game.of.Thrones.S02E08.HDTV.x264-ASAP.tar 4:21 czasu francuskiego znajduja sie tu: http://www.xweasel.org/Search.php?Description=game%20of%20thrones%20s02e08&Sorting=1&Opt=1 Tylko jak sprawdzić do jakiego użytkownika należą pliki? Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Zgłoś post Napisano Maj 21, 2012 (edytowany) Edytowano Marzec 26, 2018 przez Gość (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
lord101 18 Zgłoś post Napisano Maj 21, 2012 Dzięki za szybką odpowiedź, wyszło na to ze root, ale jest inna godzina, obstawiam ze początku wrzucania. Co teraz zrobić? Reinstall? Udostępnij ten post Link to postu Udostępnij na innych stronach
plissken 0 Zgłoś post Napisano Maj 24, 2012 bez firewalla ani rusz Udostępnij ten post Link to postu Udostępnij na innych stronach
HaPe 242 Zgłoś post Napisano Maj 24, 2012 Reinstall będzie najlepszym rozwiązaniem w tym wypadku. Jednak po reinstalacji wykonaj niezbędne kroki mające na zabezpieczeniu serwera. Pamiętaj o backupie aplikacji Udostępnij ten post Link to postu Udostępnij na innych stronach
