Автор Тема: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux? (Прочитано 3733 раз)

Kuzmitch · « : Июня 20, 2011, 15:23:22 »

Если вкратце то вот: http://blog.kuzmitch.ru/2011/06/guitarplayerru.html Сейчас все в порядке.

Есть спецы, которые могу сказать, что именно мне пытались поставить на сервер (помимо неавторизованного доступа):

1. /bin/chox - это что может быть? Могу прислать бинарник, если кто может его у тебя запустить и посмотреть, что он делает
2. log - что он может делать?

Заранее спасибо за помощь.

-ken- · « **Ответ #1 :** Июня 20, 2011, 15:34:10 »

хм, интересно как он получил доступ к ssh. либо дыра в софте, либо знал пароль
ну а потом скомпилил asd.c (/bin/chox). что он делает - хз загадка. скорее всего руткит мож какой или еще что.
потом он пытался почистить логи, но что-то не вышло.

1. удалить chox
2. обновить серверный софт
3. сменить рутовский пасс
4. запретить руту заходить на ssh
5. удалить gcc, на сервере ему не место

я не есть спец но я бы сделал так

... и добавил:

и судя по использованию log - чистит записи в логах

... и добавил:

и да, если можно, пришлите мне бинарник chox

Kuzmitch · « **Ответ #2 :** Июня 20, 2011, 15:49:01 »

1. Удалил сразу. Но оставил на всякий случай. Дома подниму виртуалку, все-таки попробу запустить.
2. Обновил
3. Сменил
4. Оно всегда было запрещено. Товарищ получил доступ к одной из учеток, которым разрешено ходить на сервер по ссш, и из-под нее эксплоитом получил рута. ~~Как он получил доступ к учетке - непонятно~~, по логам видно множество неудачных попыток войти. Доступ получили через уязвимость в старом скрипте сабмита ссылок (удалил уже) - ночью я получил порядка 1000 писем с попыткой взлома оттуда:

Тот же IP.

5. Если товарищ уже получил рут, то ему ничего не мешает потом также поставить gcc.

T.w.i.$.t · « **Ответ #3 :** Июня 20, 2011, 16:26:46 »

Kuzmitch, а кто если не секрет зарегестрирован под этим IP?

Jack_13 · « **Ответ #4 :** Июня 20, 2011, 16:31:59 »

IP однако московский, человек пользуется провайдером Твое ТВ, я думаю.
Полное имя хоста: client046-44-241-77.msk.tvoe.tv

ytrikoz · « **Ответ #5 :** Июня 20, 2011, 16:33:16 »

Несколько дней назад был взломан TubeTone... Неужели это совпадение...

T.w.i.$.t · « **Ответ #6 :** Июня 20, 2011, 16:33:49 »

во...

Цитировать

inetnum: 77.241.44.0 - 77.241.45.255
netname: TKT-11
descr: JSC TKT
country: RU
admin-c: KA697-RIPE
tech-c: PIB2-RIPE
status: ASSIGNED PA
remarks: INFRA-AW
mnt-by: TKT-MNT
source: RIPE # Filtered

person: KALMYKOV ANDREY
address: TKT
address: Vereyskaya 34/36
address: St.Petersburg, Russia 198013
phone: +7 812 4497876
fax-no: +7 812 4497878
nic-hdl: KA697-RIPE
remarks:
abuse-mailbox: abuse_net@tvoe.tv
source: RIPE # Filtered
mnt-by: TKT-MNT

person: Petr I Buzhinsky
address: TKT
address: Vereyskaya 34/36
address: St.Petersburg, Russia 198013
phone: +7 812 4497878
fax-no: +7 812 4497878
nic-hdl: PIB2-RIPE
remarks:
abuse-mailbox: abuse_net@tvoe.tv
source: RIPE # Filtered
mnt-by: TKT-MNT

% Information related to '77.241.32.0/20AS38951'

route: 77.241.32.0/20
descr: TKT_SPB_second
origin: AS38951
mnt-by: TKT-MNT
source: RIPE # Filtered

Kuzmitch · « **Ответ #7 :** Июня 20, 2011, 16:56:58 »

Гм, точно МСК, а я что-то whois глянул и подумал что этот товарищ с Питера. В Москве проще, наверное, найти товарища и поломать ноги.

uchenik · « **Ответ #8 :** Июня 20, 2011, 17:00:49 »

ну он же ниче не сделал..

Dreamer7575 · « **Ответ #9 :** Июня 20, 2011, 17:08:26 »

какой то страшный человек !

Rock Lobster · « **Ответ #10 :** Июня 20, 2011, 17:16:39 »

Месть Якова

Jack_13 · « **Ответ #11 :** Июня 20, 2011, 17:20:57 »

Цитата: Kuzmitch от Июня 20, 2011, 16:56:58

Гм, точно МСК, а я что-то whois глянул и подумал что этот товарищ с Питера.

Tracert странный какой то. Имя компа говорит - московское, а идет туда через спб.

slаvik013 · « **Ответ #12 :** Июня 20, 2011, 17:30:57 »

ниче не понял, но прикольно

Bombeo · « **Ответ #13 :** Июня 20, 2011, 17:32:40 »

яшка

... и добавил:

я 3аметил что что то происxодит кстати

... и добавил:

куда мы бе3 оффтопа то*

Om-nom-nom · « **Ответ #14 :** Июня 20, 2011, 17:36:36 »

Месть Якова и других

... и добавил:

Как ты к людям, так и они к тебе.

Форум гитаристов

Автор Тема: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux? (Прочитано 3733 раз)

Kuzmitch

Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

-ken-

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

Kuzmitch

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

T.w.i.$.t

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

Jack_13

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

ytrikoz

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

T.w.i.$.t

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

Kuzmitch

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

uchenik

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

Dreamer7575

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

Rock Lobster

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

Jack_13

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

slаvik013

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

Bombeo

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?

Om-nom-nom

Re: Сервер GuitarPlayer.Ru сегодня взломали. Есть спецы по безопасности Linux?