Тревога! Похоже я был взломан и на мой сервер был загружен руткит.

0

1

В чём суть решил я значит выполнить chrootkit и проверка вот что показала, что tcpd инфицирован! Что мне делать? Логи я выложил сюда. В файле log то что вывел chrootkit. Помогите! Пожалуйста!

Ссылка

← Почему закрыт порт 80 и 443

Кто там хотел за анонимностью к Нидерландским VPN прибегнуть? →

← 1 2 →

Для начала выложи логи на pastebin.

anonymous
(09.06.17 18:19:03 MSK)

Ответ на: комментарий от anonymous 09.06.17 18:19:03 MSK

Я не знаю как! Я туда первый раз зашёл! Чем не устраивает гугл драйв?

blbulyandavbulyan ★
(09.06.17 18:25:03 MSK) автор топика

Ответ на: комментарий от blbulyandavbulyan 09.06.17 18:25:03 MSK

Javascript.

anonymous
(09.06.17 18:27:08 MSK)

Ссылка

Ответ на: комментарий от blbulyandavbulyan 09.06.17 18:25:03 MSK

Я не знаю как

https://en.wikipedia.org/wiki/Pastebin

anonymous
(09.06.17 18:28:18 MSK)

Ответ на: комментарий от anonymous 09.06.17 18:28:18 MSK

Это получается я должен по отдельности вставлять туда каждый лог файл?

blbulyandavbulyan ★
(09.06.17 18:30:26 MSK) автор топика

Ответ на: комментарий от blbulyandavbulyan 09.06.17 18:30:26 MSK

Да.

anonymous
(09.06.17 18:31:07 MSK)

Ответ на: комментарий от anonymous 09.06.17 18:31:07 MSK

Вот раз. Это кстати то что вывел chrootkit

blbulyandavbulyan ★
(09.06.17 18:33:47 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 09.06.17 18:31:07 MSK

А ты в курсе анонимус что на этом pastebin меня просят купить Про аккаунт? Я не могу выложить syslog...

blbulyandavbulyan ★
(09.06.17 18:36:17 MSK) автор топика

Тревога! Похоже я был взломан и на мой сервер был загружен руткит.

Написано так, как будто у тебя платная техподдержка.

ox55ff ★★★★★
(09.06.17 18:37:33 MSK)

Ответ на: комментарий от ox55ff 09.06.17 18:37:33 MSK

Бесплатная... У меня вообще нет поддержки единственная поддержка это это форум, ну и остальные форумы по Linux... Может вся таки поможешь?

blbulyandavbulyan ★
(09.06.17 18:39:02 MSK) автор топика

Ответ на: комментарий от blbulyandavbulyan 09.06.17 18:39:02 MSK

Как ты будешь выковыривать руткиты, если даже на pastebin логи залить не можешь? Сколько сидишь на линуксах?

Если у тебя vps с minecraft сервером, то проще всё снести и поставить заново. Windows style.

ox55ff ★★★★★
(09.06.17 18:41:59 MSK)

Ответ на: комментарий от ox55ff 09.06.17 18:41:59 MSK

ТАМ ЛИМИТ 512 килобайт!! Естественно не могу залить... Или мне что покупать про аккаунт?

blbulyandavbulyan ★
(09.06.17 18:43:03 MSK) автор топика

Ссылка

Ответ на: комментарий от blbulyandavbulyan 09.06.17 18:36:17 MSK

pastebin.ca codepad.org dpaste.com pastebin.osuosl.org

greenman ★★★★★
(09.06.17 18:43:25 MSK)

Ссылка

https://askubuntu.com/questions/883495/chkrootkit-shows-tcpd-as-infected-is-i...

~~kwinto~~ ★
(09.06.17 18:43:32 MSK)

Отставить тревогу !
https://ubuntuforums.org/showthread.php?t=2346505

Deleted
(09.06.17 18:43:42 MSK)

Здравствуйте! Как минимум, вероятно, в случае «взлома» поможет переустановка системы. А также осознание того, как произошел «взлом», чтобы его больше не было... А более подробнее, к примеру, - глава 22 «Безопасность» книги Эви Немет, Гарт Снайдер и другие «UNIX и Linux. Руководство системного администратора»... :-)

~~user_~~
(09.06.17 18:47:46 MSK)

Ответ на: комментарий от kwinto 09.06.17 18:43:32 MSK

Всё что там было я выполнил... МД5 сказал что всё ок...

blbulyandavbulyan ★
(09.06.17 18:48:45 MSK) автор топика

Ссылка

Ответ на: комментарий от user_ 09.06.17 18:47:46 MSK

Спасибо! Благодарен за ответ...

blbulyandavbulyan ★
(09.06.17 18:49:19 MSK) автор топика

Ссылка

Syslog

blbulyandavbulyan ★
(09.06.17 18:51:51 MSK) автор топика

Ответ на: комментарий от blbulyandavbulyan 09.06.17 18:51:51 MSK

auth.log

blbulyandavbulyan ★
(09.06.17 18:53:27 MSK) автор топика

Ответ на: комментарий от blbulyandavbulyan 09.06.17 18:53:27 MSK

Что это такое? sshd[1501]: Server listening on :: port 22 в конфигах я вроде бы такого не прописывал...

blbulyandavbulyan ★
(09.06.17 18:58:12 MSK) автор топика

Ответ на: комментарий от blbulyandavbulyan 09.06.17 18:58:12 MSK

Это отверстие в форме дырки в твоей системе.

ox55ff ★★★★★
(09.06.17 19:02:36 MSK)

Ссылка

Ответ на: комментарий от Deleted 09.06.17 18:43:42 MSK

Вот контрольная сумма которая в конце у меня получилась f4d0343ed2ad94ab33de1e4b59e6e045e28070d8 после выполнения sha1sum. Ubuntu Server 17.04 Как проверить верна ли эта контрольная сумма?

blbulyandavbulyan ★
(09.06.17 19:06:03 MSK) автор топика

Ссылка

Ответ на: комментарий от blbulyandavbulyan 09.06.17 18:36:17 MSK

Да ну? Туда вообще без регистрации можно постить.

peregrine ★★★★★
(09.06.17 19:06:07 MSK)

Ответ на: комментарий от peregrine 09.06.17 19:06:07 MSK

Ты про Pastebin? Там лимит и я его привысил... Либо прем аккаунт либо ничего... Но мне отправили другие похожие ресурсы так что я уже отправил парочку логов.

blbulyandavbulyan ★
(09.06.17 19:07:31 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 09.06.17 18:43:42 MSK

Ну так как мне проверить является ли контрольная сумма верной?

blbulyandavbulyan ★
(09.06.17 19:16:32 MSK) автор топика

Ответ на: комментарий от blbulyandavbulyan 09.06.17 19:16:32 MSK

Скачать https://packages.ubuntu.com/zesty/amd64/tcpd/download и проверить контрольную сумму tcpd из пакета.

Singularity ★★★★★
(09.06.17 19:18:23 MSK)

Ответ на: комментарий от Singularity 09.06.17 19:18:23 MSK

Если контрольные суммы совпадают значит всё ок?

blbulyandavbulyan ★
(09.06.17 19:29:54 MSK) автор топика

Ответ на: комментарий от blbulyandavbulyan 09.06.17 19:29:54 MSK

Таки да же.

Singularity ★★★★★
(09.06.17 19:31:01 MSK)

Ответ на: комментарий от Singularity 09.06.17 19:31:01 MSK

Спасибо большое всем! :)

blbulyandavbulyan ★
(09.06.17 19:45:21 MSK) автор топика

Ссылка

Ответ на: комментарий от blbulyandavbulyan 09.06.17 18:58:12 MSK

Что это такое? sshd[1501]: Server listening on :: port 22 в конфигах я вроде бы такого не прописывал...

Там же написано, что демон ssh.

aureliano15 ★★
(09.06.17 22:00:31 MSK)

Ответ на: комментарий от aureliano15 09.06.17 22:00:31 MSK

Это понятно... А почему слушает :: port 22? Я в конфигурации такого вообще не прописывал, и более того эта строчка закомментированая...

blbulyandavbulyan ★
(11.06.17 13:10:26 MSK) автор топика

Ответ на: комментарий от blbulyandavbulyan 11.06.17 13:10:26 MSK

Действительно, почему демон слушает свой порт по умолчанию?

WereFox ★☆
(11.06.17 13:17:34 MSK)
Последнее исправление: WereFox 11.06.17 13:17:55 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от blbulyandavbulyan 09.06.17 18:25:03 MSK

Выкладывай сюда и не слушай этих пастенодрочеров. https://hostingkartinok.com/

anonymous
(11.06.17 14:52:05 MSK)

Ответ на: комментарий от anonymous 11.06.17 14:52:05 MSK

Поддерживаемые форматы файлов: JPG, PNG, GIF, BMP.

Худей.

~~h578b1bde~~ ★☆
(12.06.17 00:42:16 MSK)

Ссылка

Ответ на: комментарий от blbulyandavbulyan 11.06.17 13:10:26 MSK

Что бы выключить демон ssh, надо из-под рута ввести команду:

/etc/init.d/ssh stop

или

service ssh stop

Чтобы этот сервис не загружался при старте системы, надо ввести из-под рута команду:

chkconfig -s ssh off

чтобы снова включить его в автозагрузку:

chkconfig -s ssh on

чтобы проверить состояние:

chkconfig -l ssh

Если команда chkconfig не установлена, нужно установить соответствующий пакет. В debian он называется так же: chkconfig.

aureliano15 ★★
(12.06.17 22:25:59 MSK)

Ответ на: комментарий от aureliano15 12.06.17 22:25:59 MSK

Он щас сам себе выключит единственное средство связи с сервером, и усе)

timdorohin ★★★★
(12.06.17 23:16:16 MSK)

Ответ на: комментарий от timdorohin 12.06.17 23:16:16 MSK

Кстати, да, там же в другом сообщении говорилось, что это сервер.

aureliano15 ★★
(12.06.17 23:42:36 MSK)

Ссылка

Ответ на: комментарий от blbulyandavbulyan 11.06.17 13:10:26 MSK

Да, если это удалённый сервер, администрируемый по ssh, и особенно если нет физического доступа к нему, то sshd вырубать не стоит, как правильно заметил timdorohin.