LINUX.ORG.RU
ФорумAdmin

Сломали сервак?


0

0

Доброго времени суток господа.
есть у меня сервер на нём крутятся несколько сайтов. раздал фтп доступ владельцам сайтов, но учётки были системные тоесть юзер на фтп добавлялся по принципу useradd -d /var/www/site1 site1

однажды на тестовом домене увидел вот такое
http://develop.vzletka.net/
ну посмеялся мол боты хакнули, полез в логи обнаружил что одна из учёток клиента утекла возможно через фар или тотал
сменил пароли проверился рутхантером и забил, прошло с неделю...
сегодня прийдя с работы не могу зайти к себе по шелу на сервер.

# ssh login@89.105.129.12 -pPORT
Read from socket failed: Connection reset by peer

по фтп продолжаю нормально и беспрепятственно ходить подключаться по vpn ну и остальные все функции сервера работают :)

но возникло подозрение мол доломали меня.
как это можно проверить или может быть просто ssh демон помер?

Re: Сломали сервак?

>утекла возможно через фар или тотал

Как так? o0

>Read from socket failed: Connection reset by peer

У меня когда-то такое выдавало, когда на корневом разделе закончилось место. Попроси кого-то удаленно ребутануть, может пустит.

iron ★★★★★ ()
Ответ на: Re: Сломали сервак? от iron

Re: Сломали сервак?

фар и тотал пароли хранит в реестре, ну а любой уважающий себя троян будет искать эту информацию :) но это если ставить сохранить логин\пароль по поводу места на диске http://develop.vzletka.net/phpsysinfo/ вот говорит что оно ещё есть. меня смутило число открытых портов левых, хотя они не левые, но должны были висеть на локальном интерфейсе но не на внешнем :(

ilovemicrosoft ()

Re: Сломали сервак?

ftp работает, говоришь... так залей какой-нибудь шелл и через него проверяй, что случилось с sshd

disney ()

Re: Сломали сервак?

админы, затрите плиз айпишники, а то этого умника с говорящим никнеймом если и не сломали до этого, то после публикации этой подноготной есть шанс ;-)

UserUnknown ★★★★★ ()
Ответ на: Re: Сломали сервак? от UserUnknown

Re: Сломали сервак?

:)) да чего тут сервак уже с год в инете болтается ничего :)) c каких пор ипишнег стал поднаготной сервера? :) или я что-то пропустил в том мире. :)

по поводу ника, ну так пришлось чтоб прыщавые подростки возбуждались на ник

в общем подозревая почему это случилось так видимо было случайно введена комманда chmod -R 777 / вместо chmod -R 777 .

и сразу была отмена команды, но что-то успело сменить права

вот и получилось что каталог /etc/ имеет права 777 с частью содержимого.

видимо sshd и подумал что немного чушь это всё.

теперь второй вопрос. рутового логина в системе нет

на сервер залил PHP Shell но из обычный учётки ничего сделать не могу :(

пишу

$ /etc/init.d/ssh start * Starting OpenBSD Secure Shell server sshd ...done. /etc/init.d/ssh: 168: cannot open /dev/console: Permission denied /etc/init.d/ssh: 168: cannot open /dev/console: Permission denied /etc/init.d/ssh: 168: cannot create /proc/4196/oom_adj: Permission denied ах да убунта sudo надо $ sudo /etc/init.d/ssh start sudo: /etc/sudoers is mode 0777, should be 0440

но и тут логичность что судоюзеры доступны на запись всем не буду судой :))

как быть?

ilovemicrosoft ()
Ответ на: Re: Сломали сервак? от ilovemicrosoft

Re: Сломали сервак?

ахренеть , 777 на etc....
ыыыыы, жесть


смори
если можешь писать в /etc/ то пропиши куда-то в rc.3 запуск скрипта, который пофиксит тебе права и запустит хоть телнетд

а вот как бутнуть - я хз
думай

anonymous ()
Ответ на: Re: Сломали сервак? от ilovemicrosoft

Re: Сломали сервак?

И после этого автор ещё заикается насчет прыщавых подростков?

mutronix ★★★★ ()
Ответ на: Re: Сломали сервак? от mutronix

Re: Сломали сервак?

>И после этого автор ещё заикается насчет прыщавых подростков?
:)

Giz0 ()
Ответ на: Re: Сломали сервак? от mutronix

Re: Сломали сервак?

> И после этого автор ещё заикается насчет прыщавых подростков?

он возбуждается от взлома своих серверов прыщавыми подростками, которые возбуждаются от его ника.

azure ★★ ()
Ответ на: Re: Сломали сервак? от mutronix

Re: Сломали сервак?

нет ну лоханулся раз так всё теперь? прыщавый подросток? :)

нашёл бэкдур сделанный когда-то давно в общем имею по фтп полный доступ куда хочу на сервере, но проблема во владельце файлов я не думаю, что демоны захотят работать при владельце своих конфигов постороннего

ilovemicrosoft ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.