LINUX.ORG.RU
ФорумTalks

Уволился человек, и стало происходить странное


0

0

Был у нас раньше человек, работал вторым администратором. То есть свою смену я сдавал ему. Недели две назад он уволился. Естественно я попросил его сдать пароль, он подошел ( просто проверка ), потом удалил его учетную запись и все его файлы и домашнюю директорию. Неделю назад: сижу с пивом, смотрю - на 2 терминале работает пользователь root. Я аж афанарел. Причем работает просто внаглую, все ресурсы машины пожрал. Ну естественно однопользовательский режим, обнаружил 1 руткит, восстановил все из бэкапа. Причем весь софт последних версий, дырок нету. В результате сервер был недоступен 15 минут, но это ерунда, ибо сами данные не пострадали. Сегодня ночью происходит почти идентичная история - появлеятся пользователь user и втихаря начинает изучать систему. В bash_history: uname -r, uname -a, df, users, id root, cat /etc/passwd и прочее. Я быстренько выкинул его из системы. Потом все проверил: он ничего не успел сделать. Подключил 2 знакомых админов, они тоже не могли понять, как произошел взлом. Логи ведут на проски - серверы. Сам сервер вообще не интересен, Apache + PHP + MySQL. Вообще никаких ценных данных. Интересны ваши мнения, как взломщик мог проникнуть в систему.

Re: Уволился человек, и стало происходить странное

>В bash_history: uname -r, uname -a, df, users, id root, cat /etc/passwd и прочее.

помойму это анонимус с лора был, уж больно список команд стандартный. Таким обычно отвечают на вопрос "Что нужно показать, чтобы вы помогли мне настроить XXX?"

lester_dev ★★★★★ ()

Re: Уволился человек, и стало происходить странное

Я конечно не админ...

>Причем весь софт последних версий, дырок нету.

Блажен, кто верует. Ага.

Если влезли значит дыры есть. Вот только на кой пару недель как бывшему админу смотреть что за начинка в системе??? Он это и так знает.

PS Так и скажи - ломают меня, а как не пойму...

Bebop ★★ ()

Re: Уволился человек, и стало происходить странное

Я имел в виду что, что в сводках яузвимостей ничего интересного нету. Сейчас изучаю бэкапы, помоему в них дело, контрольные суммы важных файлов не совпадают.

Zalman ()

Re: Уволился человек, и стало происходить странное

> Apache + PHP + MySQL

если нет дыр в софте это не значит что их нету в скриптах. над этим стоит подумать ;)

Komintern ★★★★★ ()

Re: Уволился человек, и стало происходить странное

+1

проверь логи ssh, я в последнее время замечал что бутфорсят. Вполне возможно что через отверстиеватый пыпых пробрались, много ума для этого не надо.

bugmaker ★★★★☆ ()

Re: Уволился человек, и стало происходить странное

если человек пару недель назад еще админил этот севак, нафига он будет uname -r, uname -a делать??

qWen71n ★★★ ()

Re: Уволился человек, и стало происходить странное

Спасибо sin_a. Думаю, что я нашел проблему. Уволенный админ поставил какую - то хитрую закладку, причем поставил ее давно, и она успела попасть в мой бэкап. Много файлов было модифицировно. Сейчас на аналогичной машине поставлю ОСь заново, перенесу лишь конфиги, и БД. Считаю, что проблема исчерпана. Всем огромное спасибо!

Zalman ()

Re: Уволился человек, и стало происходить странное

Ко мне вот не по ssh, а на 10602 что-то последнее время часто стучатся:
8 23
9 143
9 3306
9 5222
9 8080
12 25
13 53361
18 2968
19 1027
21 1025
23 3128
25 41853
26 113
29 5110
30 5901
33 137
49 1433
54 4899
56 8000
65 22
118 2967
142 1434
187 5900
283 1026
294 139
312 80
582 53
1250 445
2101 10602
2220 135

pacify ★★★★★ ()

Re: Уволился человек, и стало происходить странное

"если человек пару недель назад еще админил этот севак, нафига он будет uname -r, uname -a делать??"

может специально, чтоб вы так и думали... "а зачем бывшему админу эти uname -r и т.д., видимо не он, а хацкиры"? :-)))

smh ★★★ ()

Re: Уволился человек, и стало происходить странное

Предлагаю в админы отныне брать только людей со справкой из дурки о ярко выраженной параноидальности. =)

Согласен, может и шифруется.

Bebop ★★ ()

Re: Уволился человек, и стало происходить странное

Напряги СБ, скорее всего он работает на конкурентов.

anonymous ()

Re: Уволился человек, и стало происходить странное

А ssh-ных ключиков он своих не оставил?

Zmacs ()

Re: Уволился человек, и стало происходить странное

а что, last,grep ssh /var/log/messages и т.п. ничего не показывают ?

dreamer ★★★★★ ()

Re: Уволился человек, и стало происходить странное

Сервер уже давно девственно чист. Был установлен самописный руткит. После переустановки сервера только дошли руки посмотреть как он работает, и что делает. Разбираюсь :)

Zalman ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.