Skocz do zawartości
Zaloguj się, aby obserwować  
Mackos

Debian analiza powłamaniowa

Polecane posty

Hej,
No i stała się drobna wpadka.
Miałem VPS'a wykupionego tylko dla deweloperskich zastosowań w tym svn'a.
No i 18 czerwca ktoś - na tyle co wypatrzyłem - jakiś bot, wlazł mi na konto roota i prawdopodobnie puścił phishing bo na pewno postfix był w użyciu.
Jako że po raz pierwszy przychodzi mi zabrać się za analizę strat, powiedzcie od czego mniej więcej zacząć, które logi zachować zanim przeinstaluje cały system?

I jakby ktoś się orientował - jak wytłumaczyć się u wujka google żeby nie pokazywał w przeglądarkach czerwonego ekranu?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Logi to trzeba przejrzeć jeżeli takowe zostały po przejęciu root'a.

Kwestia czerwonego ekranu - narzędzia dla webmasterów google.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wiesz co to był bot, więc wiele nie narobił, próbował się dobrać do baz mysql ale z tego co widzę marnie mu poszło. (z resztą itak nie było w nich realnych danych w końcu devel), no i puszczał maile - nie do końca wiem czy jestem w stanie sprawdzić jakie maile ?
Wiem że łączył się ode mnie z adresem: 178.15.152.69

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Maile powinny być w /var/log/mail.log , o ile bot był na tyle głupi, że ich nie wyczyścił.

Co do roota więcej Ci powie /var/log/auth.log

 

Generalnie jeśli chcesz coś zachować odnośnie tego to skopiuj sobie zawartość /var/log/* - nic innego i tak Ci nie pomoże.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ok, phishing był na ebay.
Bot był bardzo ubogi zostawił śladów dość dość nawet nie usunął fake'owej strony.
Wszystkie maile z hasłami były wysyłane na adres:

 

franta.tommy@gmail.com

Pytanie za milion punktów: jak najszybciej sprawdzić czy i które pliki były kopiowane?
Zastanawiam się ile sobie gość skopiował aplikacji które mam. Jedną na bank próbował atakować po domenie bo cloudflare odbiło jego ip.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×