LINUX.ORG.RU

как это было....


0

0

вот так вот :о( не успел перейти в свое время на ssh2 и вот результат! ...ssh1, спас firewall.. чувак после взлома переписал wtmp и начал ломиться на удалённый ftp-сервер, а экран не пустил.. а через полторы минуты, моё величество, млин задницу оторвало....

>>> Просмотр (651x432, 179 Kb)

anonymous

Проверено: maxcom

Re: как это было....

>> а через полторы минуты, моё величество, млин задницу оторвало....

Типа на комплимент нарываешься :)

Случай вспомнился.. Я как-то с парнишкой на пиво поспорил, что завалю его тачку. Слишком он себя любит да хвалит, компиляет все через mc (давит ентер на configure), make install... (./configure --help было для него открытием :) )
Ну, думаю, шансы есть :)
Запустил сканнер на его тачку -- на 666 порту root shell висит :)
Кто-то немного раньше кто-то отдрал его через дырявый bind да добавил в inetd.conf строчку :)
Самое обидное -- когда стали по системе ковыряться да бэкдоры искать --
нашли папку /dev/.hda1 , как-то так называлась.
Внутри два бинаря (не трогали), и два текстовых файла...
Засранец подменил бины ssh и sshd и все IN и OUT пароли дампились в файлы...
Давно дело было, а недавно еще один знакомый был отфакан такой же гадостью.

Проверьтесь на всякий случай... Мало ли :)

MakcuM ()

Re: как это было....

1) Это я чего-то не понял или это Вы правда по telnet'-у залогинились? Если все же я понял правильно, то тогда удивительно, почему Вас в первый же день не отхакали.

2) А на кой [псевдо]юзверю cgi доступ по ssh? Если не на кой, так почему б не вписать в sshd_config

DenyUsers cgi

Dselect ★★★ ()

Re: как это было....

А что такого в хождении по телнету из внутренней сетки?

fearan ()

Re: как это было....

Ха-ха-ха... Во порадовал "fearan" .С Детского Сада такой наивности не видел. Да по телнету ходить тоже самое , что по улице ходить с плакатом "мой рутовый пароль - ...... "(нужное вписать).

anonymous ()

Re: как это было....

по порядку: а) MakcuM, нет у меня ничего он не успел :о( я потом неделю тачку лопатил на предмет... и хоть всё равно ни чего не на рыл, а как грится, "осадок остался" (с) анек...

б)Dselect, у меня никогда на gw не было юзеров не то что cgi а вообще! ничего лишнего там нет! вообще что там есть та это файрволл, да dhcpd на внутренюю сеть... ну и куча сетевух да модемов :о((( я читал что есть такой эксплойт который работает на создание привилигированного пользователя при ошибке переполнениия...

в)anonymous (*) (2002-11-02 13:51:10.56) вот именно на "...улице ходить.." конечно не стоит, а дома то почему я не могу ходить в чём хочу!???

anonymous ()

Re: как это было....

А подробней нельзя обьяснить, чего произошло?
wtmp - это файл, где храниться информация о работающих в данный момент
пользователях. Команда w, who используют это файл. Я прав?
Сам взлом - товарищ с 64.225.124.200 по ssh-протоколу начал ломиться
на твою машину. И вот - удача - на 1022 порт он смог пролезть.
PAM_pwdb[24111]: authentication failure; (uid=0) -> cgi for ssh service
^^^^^^^^^^ ^^^^^ ^^^^^
аутентификая не прошла root пользов. cgi

Он на 1022 порт ломанулся и зашел под именем cgi, но с uid=0 (это uid
суперпользователя).
Я все правильно понял?

anonymous ()

Re: как это было....

2 anonymous (*) (2002-11-04 10:19:50.025):
>Сам взлом - товарищ с 64.225.124.200 по ssh-протоколу начал ломиться
>на твою машину. И вот - удача - на 1022 порт он смог пролезть.

Connection from xxx port yyy означает установление соединения с IP xxx и ЛОКАЛЬНОГО ДЛЯ xxx порта yyy. А соединение с сервером устанавливается на порту 22-ssh (если, конечно в настройках sshd не изменено).

Kirill ()

Re: как это было....

Kirill - а про сам взлом можно поподробней?

anonymous ()

Re: как это было....

Первым онанимусам могу посоветовать дочитывать посты до конца. Ключевое слово - "внутренняя сеть". У меня сервак соединен с моей машиной кросс-кабелем, и я пускаю рута телнетом - давай, детка, укради мой рутовый пароль :-)

ps/2: мы даже забудем, что мой сервак стоит за 3 NATами :-)

fearan ()

Re: как это было....

> у меня никогда на gw не было юзеров не то что cgi а вообще!

А зачем тогда доступ по ssh открыт ВСЕМ? Если он нужен только для юзера pupkin
(aka админ), то пишем в sshd_config

AllowUsers pupkin

Конечно, можно и это сломать, но это (какая ни какая) лишняя возня.

> нет у меня ничего он не успел :о( я потом неделю тачку лопатил на предмет...

Еще не факт, что там ничего не осталось. Грамотно поставленный root tk заметить
практически нереально.

Лично я бы в такой ситуации все снес и заново переставил.

Dselect ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.