forum.opennet.ru

"Разбор последствий взлома Linux-хостов выявил странную актив..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Разбор последствий взлома Linux-хостов выявил странную актив..."	+1 +/–
Сообщение от pavlinux (ok), 01-Дек-11, 23:12
>> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00, >> раз в 7 минут по 4 подхода долбит. :) > А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-) Ну вообще-то авторизация только по ключам и рута низя. Да и вообще, уже перенёс на другой порт... Cкучно стало, в логах только записи крона... :( Но фигня, ещё есть web сервер!!! Там постоянно бутфорсят на наличие PHPMyAdmin и стандартные страницы авторизации и пароли от полулярных SMS. --- 61.250.80.133 - - [27/Nov/2011:12:02:07 +0400] "GET /user/soapCaller.bs HTTP/1.1" 301 486 "-" "Morfeus Fucking Scanner" 95.110.225.52 - - [27/Nov/2011:22:28:28 +0400] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 415 "-" "-" 31.44.184.245 - - [27/Nov/2011:23:50:31 +0400] "POST http://myinfo.any-request-allowed.com/?strGet=get3294 HTTP/1.1" 301 480 "-" "-" 180.210.203.86 - - [01/Dec/2011:21:24:59 +0400] "GET /phpMyAdmin-2.11.2.2/scripts/setup.php HTTP/1.1" 301 518 "-" "ZmEu" 180.210.203.86 - - [01/Dec/2011:21:23:57 +0400] "GET /websql/scripts/setup.php HTTP/1.1" 301 497 "-" "ZmEu" 180.210.203.86 - - [01/Dec/2011:21:23:53 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu" 180.210.203.86 - - [01/Dec/2011:21:23:53 +0400] "GET /web/phpMyAdmin/scripts/setup.php HTTP/1.1" 301 509 "-" "ZmEu" 180.210.203.86 - - [01/Dec/2011:21:23:54 +0400] "GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 301 512 "-" "ZmEu" 180.210.203.86 - - [01/Dec/2011:21:23:55 +0400] "GET /web/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu" 180.210.203.86 - - [01/Dec/2011:21:23:56 +0400] "GET /php-my-admin/scripts/setup.php HTTP/1.1" 301 505 "-" "ZmEu" 180.210.203.86 - - [01/Dec/2011:21:23:48 +0400] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 301 512 "-" "ZmEu" 200.98.197.72 - - [01/Dec/2011:16:19:43 +0400] "POST /_vti_bin/_vti_aut/author.dll HTTP/1.1" 301 525 "-" "core-project/1.0" 61.183.23.146 - - [01/Dec/2011:20:04:49 +0400] "HEAD /manager/html HTTP/1.0" 301 225 "-" "-" 180.210.203.86 - - [01/Dec/2011:21:23:41 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 527 "-" "ZmEu" 220.226.103.254 - - [01/Dec/2011:02:25:31 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 527 "-" "ZmEu" 220.226.103.254 - - [01/Dec/2011:02:25:31 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 503 "-" "ZmEu" 220.226.103.254 - - [01/Dec/2011:02:25:32 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 502 "-" "ZmEu" 220.226.103.254 - - [01/Dec/2011:02:25:32 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu" 220.226.103.254 - - [01/Dec/2011:02:25:33 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 301 498 "-" "ZmEu" 220.226.103.254 - - [01/Dec/2011:02:25:33 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 301 499 "-" "ZmEu" 211.255.24.167 - - [01/Dec/2011:01:35:39 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 527 "-" "ZmEu" 211.255.24.167 - - [01/Dec/2011:01:35:40 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 503 "-" "ZmEu" 211.255.24.167 - - [01/Dec/2011:01:35:40 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 502 "-" "ZmEu" 211.255.24.167 - - [01/Dec/2011:01:35:41 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu" 211.255.24.167 - - [01/Dec/2011:01:35:42 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 301 498 "-" "ZmEu" 211.255.24.167 - - [01/Dec/2011:01:35:42 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 301 499 "-" "ZmEu" DLL-ку какую-то искали 200.98.197.72 - - [01/Dec/2011:16:19:43 +0400] "POST /_vti_bin/_vti_aut/author.dll HTTP/1.1" 301 525 "-" "core-project/1.0"
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Разбор последствий взлома Linux-хостов выявил странную актив..., opennews, 01-Дек-11, 15:58 [смотреть все]

Да все проще Центос ломать одно удовольствие там обновления безопасности по го, Аноним, 01-Дек-11, 16:07 (3) //
- Можно подумать что у hardhat а какой-то особый ssh , Аноним, 01-Дек-11, 16:31 (6) //
  - Да, есть маленько А еще у них ядро особое , Аноним, 01-Дек-11, 16:40 (7) //
    - И чего у них там есть Про ядра заскипано неинтересно Про ssh расскажите , Аноним, 01-Дек-11, 17:15 (18)
      - SELINUX, Аноним, 01-Дек-11, 17:28 (22)
        
        Вы что, блондинка Или зачем тут капс Кроме того, если уж хост взломали - значи, Аноним, 01-Дек-11, 19:34 (42)
        
        Гадайта гадайте, вот еще вариант - может как в 99 9999999 всех остальных случае, anonymous, 02-Дек-11, 01:46 (80)
        А еще был опровергнута теория о том, что nix - это защищенные системы , Аноним, 02-Дек-11, 14:28 (105)
        
        А вот это как бы это зависит от метода взлома А то может и правда подобрали суп, Аноним, 02-Дек-11, 16:47 (124)
        Вообще-то, сверх защищённые За пару минут можно закрыть так, что и сам не попад, Кирилл, 02-Дек-11, 19:47 (142)
      - Тамошний ssh имеет очень мало общего с аналогичной версией из мейнстрима Наприм, Аноним, 02-Дек-11, 14:31 (107)
        
        Очень полезно пихать в песочницу рута , Кирилл, 02-Дек-11, 14:50 (114)
        
        Бес полезно для рута бес полезно для всех остальных юзеров , Аноним, 02-Дек-11, 16:10 (121)
        А зачем нужен рут в песочнице Чтобы дети могли поиграть в сисадмина , Аноним, 02-Дек-11, 16:48 (125)
Куда интереснее -каким макаром произошло проникновение А что, что ПО меняли, т, Анонище, 01-Дек-11, 16:43 (8) //
- Journal там пока что не внедрили, так что без шансов , Аноним, 01-Дек-11, 16:51 (12) //
  - А что бы это изменило , Аноним, 01-Дек-11, 16:59 (15) //
    - Никто бы даже не узнал о взломе, очевидно , Аноним, 01-Дек-11, 18:20 (33)
      - Да, на системах с syslog о взломе можно узнать только если повезет , Аноним, 02-Дек-11, 14:15 (101)
        
        Удалённая регистрация событий вывод всех событий авторизации на старый добрый , Кирилл, 02-Дек-11, 14:48 (113)
        
        Получится такой аналог Journal в стиле прошлого века P S Кстати, тут пробегала , Аноним, 02-Дек-11, 15:59 (119)
        
        Почему прошлого У меня так на всех шлюзах Регистрация всех важных событий лока, Кирилл, 02-Дек-11, 19:41 (139)
        
        До тех пор, пока хакеры не начнут их поджигать , Аноним, 03-Дек-11, 16:26 (151)
        сколько нарушителей и за сколько лет поймали, если не секрет , аноним1, 09-Дек-11, 22:40 (165)
        
        Прочиталось как с рулоном туалетной бумаги, извините , Аноним, 02-Дек-11, 16:49 (126)
        
        Туалетную утащат , Кирилл, 02-Дек-11, 19:45 (141)
    - Был бы более-менее доверительный механизм удаленного логгирования, с авторизацие, Аноним, 02-Дек-11, 14:18 (102)
      - Он есть И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэш, Кирилл, 02-Дек-11, 14:52 (115)
        
        Но логам-то все равно нельзя верить Как справедливо заметил Поттеринг, любой тр, Аноним, 02-Дек-11, 15:58 (118)
        
        А вот помешать Апачу писать в лог от своего имени ему заметно сложнее , PereresusNeVlezaetBuggy, 02-Дек-11, 16:04 (120)
        
        Да и незачем Смысл записи во много определяется ее контекстом А нужный контекс, Аноним, 02-Дек-11, 16:12 (122)
        
        В плане Запись из error_log, указывающая на попытку взлома, чем только ни допол, PereresusNeVlezaetBuggy, 02-Дек-11, 16:14 (123)
        
        А что помешает хакеру убрать ее втихарика без палева , Аноним, 02-Дек-11, 16:50 (127)
        
        Отсутствие прав если ещё не рут, а только пытаеццо , PereresusNeVlezaetBuggy, 02-Дек-11, 19:10 (136)
        
        Ну так если успешно попытается - права будут У поттеринга он может разве что це, Аноним, 02-Дек-11, 19:55 (143)
        Вот пока он будет пытаться, его и засекут Если за машиной будут следить только , PereresusNeVlezaetBuggy, 02-Дек-11, 19:59 (145)
        Или не засекут, в зависимости от мастерства хакера и админа Ну, можно посадить д, Аноним, 09-Дек-11, 12:40 (161)
        Эта возможность была озвучена, так как она возможно, но не слишком вероятна А в, PereresusNeVlezaetBuggy, 09-Дек-11, 16:03 (163)
        
        А зачем ее куда-то девать Достаточно накидать туда еще пару сотен тысяч таких ж, Аноним, 02-Дек-11, 18:31 (133)
        
        Ещё раз от анализатора логов Которому пофиг на остальной мусор, хоть из , PereresusNeVlezaetBuggy, 02-Дек-11, 19:11 (137)
        
        Еще раз лог заполняется не мусором, а вполне определенными записями, соответств, Аноним, 03-Дек-11, 16:29 (152)
        И как вы собираетесь подделывать логи Вот вам access-лог Apache Имеем отметку в, PereresusNeVlezaetBuggy, 03-Дек-11, 21:29 (155)
        Так надо сделать чтобы не пофиг было Кидаем еще 100500 записей в таком же ду, Аноним, 09-Дек-11, 12:42 (162)
        В таком случае фэйковые логи по определению будут идти _после_ реальных Этого, PereresusNeVlezaetBuggy, 09-Дек-11, 16:05 (164)
        
        Причём тут верить или не верить Главное зарегистрировать хронологию событий Оч, Кирилл, 02-Дек-11, 19:43 (140)
        
        которых не было Любой бот может завалить лог гигабайтными потоками какбэ со, Аноним, 03-Дек-11, 16:31 (153)
  - что за Journal, простите , аноним1, 09-Дек-11, 22:44 (166)
Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс помимо, Вова, 01-Дек-11, 17:50 (24) //
- http www opennet ru base sys recover_file10 txt html, Hugo Reyes, 01-Дек-11, 18:02 (28)
- testdisk погугли , CrustY, 01-Дек-11, 18:27 (34)
- foremost, igron, 01-Дек-11, 19:51 (45)
- спасибо всем , Вова, 02-Дек-11, 07:55 (89)
- photorec, ext3grep , Аноним, 02-Дек-11, 14:29 (106)
Да никто там особо не заботился о том чтобы не взломали , выполнили свою задачу , Аноним, 01-Дек-11, 18:51 (37)
Автору конечно спасибо за труды, но непонятно, к чему повествование В 2009 каки, Аноним, 01-Дек-11, 19:15 (38) //
- Что с 2009 года в CentOS есть незакрытая дыра, дающая удалённо root , Аноним, 01-Дек-11, 19:35 (43) //
  - Если с 2009 года не обновляться, как это любят делать ценители центоса - запрост, Аноним, 02-Дек-11, 14:32 (108)
В последнем CentOS 5 x пакет openssh-4 3p2-72 el5_7 5 i386 rpmВ 4 3p2-10 была ис, Аноним, 01-Дек-11, 20:04 (47)
Не понятно из новости, что за хосты были взломаны и как они были связаны с Duqu , AdVv, 01-Дек-11, 20:45 (48)
При чтении оригинальной заметки с картинками вспомнился старый добрый симулятор, AdVv, 01-Дек-11, 20:48 (49) //
- Это что-то типа fate , Аноним, 02-Дек-11, 16:51 (128) //
  - http ru wikipedia org wiki Uplink_ 28 D0 B8 D0 B3 D1 80 D0 B0 29, AdVv, 28-Дек-11, 11:29 (169)
Что за дурь По моему все до единого сисадмины знают, что такой доступ верх беза, Аноним, 01-Дек-11, 21:23 (50) //
- Дефолтовые настройки меняет мизерный процент сисадминов Даже если в системе вхо, Аноним, 01-Дек-11, 22:34 (54)
- Дурь это делать наоборот - вместо этого самому городить самодельные костыли, ник, anonymous, 02-Дек-11, 01:48 (81) //
  - Вы хотите сказать что отключить вход по логину root - это дурь делать наоборот , Аноним, 02-Дек-11, 01:59 (84) //
    - на каком сервере IP у вас тоже генератором паролей выбирается , qpq, 02-Дек-11, 02:35 (85)
      - На моем Конечно нет Что за бред пишете и, главное, зачем , Аноним, 03-Дек-11, 05:48 (148)
        
        это был сарказм как быпросто, пытался понять, зачем генерить случайное имя для п, qpq, 09-Дек-11, 12:20 (160)
    - Да, дурь Нормальный пароль не подберут в обозримом будущем Сам пароль передает, Аноним, 02-Дек-11, 05:48 (86)
      - Тем, что 1 крякеру надо сначала угадать юзеровский логин для удаленного входа, к, xdsl, 02-Дек-11, 06:53 (87)
        
        А вы сидите и tail ом логи смотрите 24х7, SubGun, 02-Дек-11, 10:19 (94)
        А откуда следует что их останется больше чем при получении рута Кроме того, ну , Аноним, 02-Дек-11, 12:03 (98)
        
        Ммм, контейнер Если ядро достаточно старое, есть шансы вылезти на хост с руто, Аноним, 02-Дек-11, 14:34 (109)
        
        А в случае лени и паранойи надо виртуалки юзать Из них вы уже тоже умеете вылез, Аноним, 02-Дек-11, 16:52 (129)
        
        Такой шанс бывает редко - для xen или vmware такие дыры находят раз в несколько , Аноним, 02-Дек-11, 18:33 (134)
        
        Классная пьянка Мало что мой логин в виде 8x1UsNxKtW8B увели и сообразили что, Аноним, 03-Дек-11, 05:45 (147)
        
        аксиома а не зависимо от того, включен или выключен логин от рута, ssh ведет себ, Аноним, 02-Дек-11, 17:38 (132)
        Бред какой-то Не понял, при чем тут разные системы, и еще у вас что, на разных м, Аноним, 03-Дек-11, 12:55 (149)
      - Ага, ага , Аноним, 02-Дек-11, 14:25 (104)
        
        Вообще, хреновый какой-то пароль если за 8 попыток подбирается Толи вместо адми, Аноним, 02-Дек-11, 16:58 (131)
        
        Разумеется, рутовый логин же был разрешен , Аноним, 02-Дек-11, 18:34 (135)
  - Вы действительно так считаете Тогда Duqu идет к вам , Аноним, 02-Дек-11, 14:23 (103)
- Может быть и верх, но по умолчанию ремотный доступ рутом разрешен во всех дистри, kshetragia, 02-Дек-11, 07:03 (88) //
  - Нормальные админы эту возможность убирают сразу после создания пользователя, кот, Mikula, 02-Дек-11, 10:03 (91) //
    - зачем не понимаю, выключить авторизацию по паролю и все, reaper, 02-Дек-11, 11:48 (97)
    - А какая глобальная разница Нет, конечно от пароля 777 на руте это спасет, но ес, Аноним, 02-Дек-11, 16:54 (130)
    - Это не так Как раз доступ руту надо явно разрешать Что, видимо, и было сделано, Кирилл, 02-Дек-11, 19:37 (138)
    - Нормальные оси имеют это из коробки , kshetragia, 05-Дек-11, 09:46 (157)
Так как данные были очищены через простое удаление файлов без обнуления областе, Frank, 01-Дек-11, 22:05 (52) //
- И тут же после этого By bruteforce scanning the slack unused space in the 82, Frank, 01-Дек-11, 22:08 (53) //
  - Да уж касперцы снова открыли Америку , скорее нехорошие ребята пользовались r, Евгений, 01-Дек-11, 23:06 (63) //
    - Ну как бы сами же касперцы и намекают на это когда анализируют bash_history , Ytch, 02-Дек-11, 01:15 (78)
- Не сработал простой метод, попробовали другой и нашли данные, что не так , Аноним, 01-Дек-11, 22:36 (55)
Вот что то я не понял Какой смысл в этой новости Больше на какие то сплетни по, chelovek, 01-Дек-11, 22:42 (56) //
- Ага подбирал пароли не скриптом, а вручную, пописал и сразу правильный пароль по, Аноним, 01-Дек-11, 22:54 (57) //
  - Ну а почему нет Вот у меня бывает умные идеи или в толчке или на курилке приход, chelovek, 01-Дек-11, 22:57 (58)
- Это период цикла работы брутфорс скрипта Вот к нам тоже, каждый день, аккурат с, pavlinux, 01-Дек-11, 23:00 (60) //
  - А потом скрипт ума набирается и с первой попытки сразу рутом входит - , Аноним, 01-Дек-11, 23:10 (64) //
    - Ну вообще-то авторизация только по ключам и рута низя Да и вообще, уже перенёс , pavlinux, 01-Дек-11, 23:12 (65)
      - Такая же фигня Я вот думаю создать, что ли, пару из этих файлов, да написать та, Ytch, 02-Дек-11, 00:25 (73)
        
        180 0 0 0 2 можно смело банить 13x 0 0 0, 6x 0 0 0 , 3x 0 0 0 - самые ботнетц, pavlinux, 02-Дек-11, 00:49 (74)
        
        Тогда уж советую -A INPUT -m geoip --source-country A1,AD,AE,AF,AG,AI,AO,AP,AQ,A, un4me, 06-Дек-11, 11:46 (159)
        
        зачОтно , ФФ, 02-Дек-11, 10:11 (92)
        Эта идея существует уже давно и называется honeypot Настоящие исследователи в о, Аноним, 02-Дек-11, 14:37 (110)
      - Если хост не сильно критичный к нагрузкам то весьма забавно на некоторое время в, stamnik, 02-Дек-11, 00:58 (76)
        
        По-моему, эту штуку удалили из ядра лет пять назад, как минимум , Аноним, 02-Дек-11, 14:40 (111)
- Оригинал гласит да и по логам в оригинале видно Не было никакого перерыва Вхо, Ytch, 02-Дек-11, 01:49 (82) //
  - Перерыв был, но не 8, а 3 минуты по скриншоты лога отлично видно, что последня, Аноним, 02-Дек-11, 10:33 (96)
Злоумышленники обновили OpenSSH до 5 версии, это самое интересное Это наверное,, Аноним, 01-Дек-11, 22:59 (59) //
- Долгое время это была RedHat для бедных, все работало как часы Но со времен ког, anonymous, 02-Дек-11, 01:56 (83)
Всё просто Алгоритм взлома 1 Используется скрипт, который ищет в сети серверы , Аноним, 01-Дек-11, 23:14 (67) //
- Если читал внимательно, то рута получили обычным бутфорсом , pavlinux, 01-Дек-11, 23:28 (68) //
  - Это вам так кажется - Вначале разведку провели, а уже потом тяжелая артиллерия, Аноним, 01-Дек-11, 23:37 (71) //
    - Мне не кажется, читаю то, что пишут В качестве наиболее вероятного способа прон, pavlinux, 02-Дек-11, 00:21 (72)
      - перебор за 8 минут у меня что-то на это очень много времени уходило, скорее вс, Xing, 02-Дек-11, 08:48 (90)
        
        У меня обычно стоит fail2ban который при 3х неудачных попыток подбора добавляет , Аноним, 26-Дек-11, 17:47 (168)
Дйля беспарольного доступа ssh использует, в основном, две крипто системы -- rsa, adolfus, 02-Дек-11, 01:02 (77)
ИМХО, хакеры не хотели, чтобы кто-то переимел систему за счёт какой-то незакры, PereresusNeVlezaetBuggy, 02-Дек-11, 01:32 (79) //
- А банальный firewall когда успели отменить и не тебе брутфорс, и не тебе не, StaS, 02-Дек-11, 13:33 (99) //
  - Фаервол не спасёт от медленного перебора Судя по времени подбора, там банально , PereresusNeVlezaetBuggy, 02-Дек-11, 14:46 (112)
  - Вы о чём, уважаемый И что вы подразумеваете под банальный firewall Настолько, Кирилл, 02-Дек-11, 14:59 (117) //
    - на столько банальный что не светит на весь мир ssh порт, что сводит к минимуму б, StaS, 02-Дек-11, 19:57 (144)
      - А вот это в 99 случаев - глупость Ибо лишает самого админа возможности операти, PereresusNeVlezaetBuggy, 02-Дек-11, 20:01 (146)
        
        Не, надо так После того как стало понятно, что это попытки взлома, перенаправлят, vi, 03-Дек-11, 14:40 (150)
- Этот прорыв в математике совершили еще до 21 века советские ученые Кроме того, , wildhawk, 04-Дек-11, 13:28 (156) //
  - дайте ссылку пожалуйста , anonymous, 05-Дек-11, 12:50 (158)
Там в bash_history прикольный команды, особенно улыбнуло iptables -F, а если по, Аноним, 03-Дек-11, 16:59 (154)
Брутфорс мозга верить в непроверенные гипотезы каспера призрака шалунишку , кото, Аноним, 26-Дек-11, 17:39 (167)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру