поломали

rootkit

1

5

auth.log:Jan 19 14:28:16 pc sshd[31332]: Accepted keyboard-interactive/pam for root from 103.41.124.101 port 47104 ssh2

auth.log:Jan 19 18:36:32 pc sshd[418]: Accepted keyboard-interactive/pam for root from 148.163.4.178 port 40696 ssh2

537561 612 -rwxr-xr-x 1 root root 618631 Jan 20 01:33 /lib/libgcc.so

915632 612 -rwxr-xr-x 1 root root 618642 Jan 20 00:28 /usr/bin/zlsjlwybks

701174 0 lrwxrwxrwx 1 root root 20 Jan 20 00:28 /etc/rc1.d/S01zlsjlwybks -> ../init.d/zlsjlwybks

701320 0 lrwxrwxrwx 1 root root 20 Jan 20 00:28 /etc/rc3.d/S01zlsjlwybks -> ../init.d/zlsjlwybks

701197 0 lrwxrwxrwx 1 root root 20 Jan 20 00:28 /etc/rc2.d/S01zlsjlwybks -> ../init.d/zlsjlwybks

701453 0 lrwxrwxrwx 1 root root 20 Jan 20 00:28 /etc/rc5.d/S01zlsjlwybks -> ../init.d/zlsjlwybks

701384 0 lrwxrwxrwx 1 root root 20 Jan 20 00:28 /etc/rc4.d/S01zlsjlwybks -> ../init.d/zlsjlwybks

701617 4 -rw-r--r-- 1 root root 764 Jan 20 00:28 /etc/crontab

701002 4 -rwxr-xr-x 1 root root 323 Jan 20 00:28 /etc/init.d/zlsjlwybks

700947 4 -rwxr-xr-x 1 root root 229 Jan 20 00:28 /etc/cron.hourly/cron.sh

# strings libgcc.so

BB2FA36AAA9541F0

103.25.9.228

8.8.8.8

CAk[S

Ссылка

←	Несовместимые с линуксом DVRы

косяк xl2tp или карточки?

→

кто тебе виноват, что ты криворукий лапоть не настроил авторизацию по ключам.

~~redhat~~
(20.01.15 03:18:17 MSK)

А реально настроить логирование всех команд в journald? Было бы интересно посмотреть, если ломанут.

Black_Roland ★★★★
(20.01.15 03:20:53 MSK)

Ответ на: комментарий от redhat 20.01.15 03:18:17 MSK

Виноваты:

1) PermitRootLogin yes в sshd_conf;

2) пароль рида «12345».

Было когда-то на 5 минут так сделано и забыто. Тут вообще ssh не нужен.

fk0 ★
(20.01.15 03:21:14 MSK) автор топика

Ответ на: комментарий от fk0 20.01.15 03:21:14 MSK

12345

Нуфф саид.

~~redhat~~
(20.01.15 03:22:35 MSK)

Ссылка

Ответ на: комментарий от fk0 20.01.15 03:21:14 MSK

я обычно так себе делаю пароль:

openssl sha1 /bin/bash

SHA1(/bin/bash)= 9bf9fd98a9eab2123b922c736f6d51951abebfe7

9bf9fd98a9eab2123b922c736f6d51951abebfe7

попробуй подбери, если тебя fail2ban на второй попытке на месяц забанит.

~~redhat~~
(20.01.15 03:25:09 MSK)

Ответ на: комментарий от Black_Roland 20.01.15 03:20:53 MSK

auditd. Подними контейнер с паролем рута как у ТС и посмотри что боты делают.

~~entefeed~~ ☆☆☆
(20.01.15 04:05:16 MSK)

Ответ на: комментарий от entefeed 20.01.15 04:05:16 MSK

auditd. Подними контейнер с паролем рута как у ТС и посмотри что боты делают.

Ханипот мне вроде не надо :) Может пригодится для разбора полетов. Надо потыкать интересная штука, спасибо.

UPD: По логированию команд вроде эта ссылка полезна: http://whmcr.com/2011/10/14/auditd-logging-all-commands/ (если интересно кому)

Black_Roland ★★★★
(20.01.15 04:15:50 MSK)
Последнее исправление: Black_Roland 20.01.15 04:17:54 MSK (всего исправлений: 2)

Ссылка

что спросить-то хотел? Или просто принес свою боль?

leave ★★★★★
(20.01.15 04:25:13 MSK)

Ссылка

Ответ на: комментарий от redhat 20.01.15 03:25:09 MSK

man apg

leave ★★★★★
(20.01.15 04:25:35 MSK)

Ссылка

Ответ на: комментарий от redhat 20.01.15 03:25:09 MSK

эмм, ты его всегда по /bin/bash генеришь ?) Если да то после твоего поста подобрать будет +/- реально )

Daimon
(20.01.15 11:29:50 MSK)

Ответ на: комментарий от Daimon 20.01.15 11:29:50 MSK

а ключ ты где возьмешь? Алсо, версию баша ты не знаешь, также не знаешь, с какими флагами я его собрал.

подобрать будет +/- реально

одна попытка с одного ip в месяц, давай, подбирай.

~~redhat~~
(20.01.15 12:30:55 MSK)

Ответ на: комментарий от redhat 20.01.15 12:30:55 MSK

а если сам опечатаешься?

ii343hbka ★★★
(20.01.15 12:46:28 MSK)

Ответ на: комментарий от ii343hbka 20.01.15 12:46:28 MSK

у меня авторизация по ключам без ввода пароля.

~~redhat~~
(20.01.15 12:48:48 MSK)

Ответ на: комментарий от redhat 20.01.15 12:48:48 MSK

авторизация по ключам без ввода пароля

Нда, и кто после этого ССЗБ?

kawaii_neko ★★★★
(20.01.15 13:39:52 MSK)

Ответ на: комментарий от redhat 20.01.15 03:25:09 MSK

Какое жосский fail2ban. А если скопируешь неправильно?

turtle_bazon ★★★★★
(20.01.15 22:00:08 MSK)

Ответ на: комментарий от redhat 20.01.15 03:25:09 MSK

Лучше уж тогда sha1 от какого-нибудь linux-0.0.1.tar.gz, чтобы можно было воссоздать пароль в случае чего.

mix_mix ★★★★★
(20.01.15 22:08:06 MSK)

Ссылка

Ответ на: комментарий от turtle_bazon 20.01.15 22:00:08 MSK

один раз я сам себя заблокировал и пришлось подключаться через ssh к удалённому компу и из под него к первичному чтобы сбросить правила fail2ban'а

snaf ★★★★★
(21.01.15 00:43:16 MSK)

Ответ на: комментарий от kawaii_neko 20.01.15 13:39:52 MSK

Ты.

~~redhat~~
(21.01.15 05:06:02 MSK)

Ответ на: комментарий от turtle_bazon 20.01.15 22:00:08 MSK

поломали (комментарий)

~~redhat~~
(21.01.15 05:06:35 MSK)

Ответ на: комментарий от redhat 20.01.15 12:48:48 MSK

у меня авторизация по ключам без ввода пароля.

А зачем тогда оставлять авторизацию по паролю вообще?

Black_Roland ★★★★
(21.01.15 06:35:37 MSK)

Ответ на: комментарий от Black_Roland 21.01.15 06:35:37 MSK

Это вопрос к ТС, не ко мне, у меня нет авторизации по паролю.

~~redhat~~
(21.01.15 08:00:05 MSK)

Ответ на: комментарий от redhat 21.01.15 08:00:05 MSK

Это вопрос к ТС, не ко мне, у меня нет авторизации по паролю.

Это я ступил и не на то твое сообщение сообщение ответил.

у меня нет авторизации по паролю.

А это тогда зачем?

я обычно так себе делаю пароль:
попробуй подбери, если тебя fail2ban на второй попытке на месяц забанит.

Black_Roland ★★★★
(21.01.15 08:07:21 MSK)

Ссылка

Ответ на: комментарий от redhat 21.01.15 05:06:35 MSK

Тогда смысла в пароле не вижу вообще.

turtle_bazon ★★★★★
(21.01.15 10:46:54 MSK)

Ссылка

Ответ на: комментарий от snaf 21.01.15 00:43:16 MSK

Хорошо, если такая возможность есть. Я помню, на заре изучения iptables просто тупо все исходящие заблокировал и остался без возможности подключаться к серверу. И такое бывает. :)

turtle_bazon ★★★★★
(21.01.15 10:51:08 MSK)