forum.opennet.ru

Составление сообщения

Исходное сообщение

"Взломали сервер"
Отправлено shadow_alone, 01-Сен-17 01:49

Ну во первых, зашли не по ключу:
Aug 25 02:09:15 HostNameX sshd[1512]: Accepted password for setup from 127.0.0.1 port 43568 ssh2
Во вторых, предварительно рестартовали sshd:
Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating.
А значит запустить его могли с любыми параметрами, и входу без ключа.
Откуда у Вас взялся юзер setup, вот в чем вопрос.
С учетом того что заходили с локального хоста, использовался какой-то backdoor.
А вообще - анализ - процедура платная, можете обратиться на фриланс, вам всё по полочкам разложат во вашим логам.
----
А вот эти две строчки:
Aug 25 02:02:59 HostNameX login[1105]: pam_unix(login:session): session opened for user setup by LOGIN(uid=0)
Aug 25 02:02:59 HostNameX login[1195]: ROOT LOGIN on '/dev/tty1'
говорят о том, что залогинились локально изначально а не по ssh, и рестартанули ssh.
У Вас всё более чем печально.

Исходное сообщение
"Взломали сервер" Отправлено shadow_alone, 01-Сен-17 01:49
Ну во первых, зашли не по ключу: Aug 25 02:09:15 HostNameX sshd[1512]: Accepted password for setup from 127.0.0.1 port 43568 ssh2 Во вторых, предварительно рестартовали sshd: Aug 25 02:04:54 HostNameX sshd[992]: Received signal 15; terminating. А значит запустить его могли с любыми параметрами, и входу без ключа. Откуда у Вас взялся юзер setup, вот в чем вопрос. С учетом того что заходили с локального хоста, использовался какой-то backdoor. А вообще - анализ - процедура платная, можете обратиться на фриланс, вам всё по полочкам разложат во вашим логам. ---- А вот эти две строчки: Aug 25 02:02:59 HostNameX login[1105]: pam_unix(login:session): session opened for user setup by LOGIN(uid=0) Aug 25 02:02:59 HostNameX login[1195]: ROOT LOGIN on '/dev/tty1' говорят о том, что залогинились локально изначально а не по ssh, и рестартанули ssh. У Вас всё более чем печально.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру