URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 59748
[ Назад ]

Исходное сообщение
"Если кто-то был на сервере..."
Отправлено guest , 03-Сен-05 22:04

Добрый день.
Ситуация следующая. Обнаружил, что на сервер кто-то заходил с моей учетной записью. Аккуратненько так, посмотрел сетевый интерфейсы...
Не могу понять, как этот кто-то подобрал мой пароль, который состоит не из пяти букв.
Вопрос: что необходимо проверить на севрере в плане изменений, и как в дальнейшем можэно предотвартить такие действия. пароль я уже сменил...
Спасибо.

Содержание

Если кто-то был на сервере...,Noname, 05:54 , 04-Сен-05
- Если кто-то был на сервере...,guest, 15:43 , 04-Сен-05
  - Если кто-то был на сервере...,RIPper_wk, 18:06 , 13-Сен-05
  - Если кто-то был на сервере...,antoshkin, 00:11 , 14-Сен-05
Если кто-то был на сервере...,kisslong, 05:16 , 14-Сен-05

Сообщения в этом обсуждении

"Если кто-то был на сервере..."
Отправлено Noname , 04-Сен-05 05:54

>Добрый день.
>
>Ситуация следующая. Обнаружил, что на сервер кто-то заходил с моей учетной записью.
>Аккуратненько так, посмотрел сетевый интерфейсы...
>
>Не могу понять, как этот кто-то подобрал мой пароль, который состоит не
>из пяти букв.
>
>Вопрос: что необходимо проверить на севрере в плане изменений, и как в
>дальнейшем можэно предотвартить такие действия. пароль я уже сменил...
>
>Спасибо.
Используя коменду find найдите файлы которые изменялись с момента входа непрошенного гостя и произведите их анализ на наличие suid, прав доступа...
Если изменены бинарники, то рекомендую пересобрать их их исходников... если кончено у вас не Solaris... если солярка, то возмите с аналогичной платформы... только аккуратно с библиотеками.. ни в коем случае не трогайте ld.so и аналогичные...
MyHomePage - http://surgutnet.ru

"Если кто-то был на сервере..."
Отправлено guest , 04-Сен-05 15:43

Благодарю. Нашел файлы, которые были изменены, но это не бинарники, а программы на Tcl. Находились в директориях /usr/share/doc. whatis назывались. Что-то с памятья делали как я понимаю.
Поудалял их, машину перегрузил.
Кстати, можно ли как-то наказать того, кто это сделал. IP я знаю, адрес компании которая выдала этот IP также известен.

"Если кто-то был на сервере..."
Отправлено RIPper_wk , 13-Сен-05 18:06

1) смени парольна кракозябры из 8 и более символов
2) не юай пароли от сервака для своей почты и т.п. сервисов
3) хорошо подумай кто это мог быть.
и наконец , ты сам сетапил машину ?
или от кого-то досталась?
Может человек хотел забрать свое имущество .

"Если кто-то был на сервере..."
Отправлено antoshkin , 14-Сен-05 00:11

Некоторые дают рутовые или wheel права например юзеру vasya, а потом этим же юзером ходят через интернет по фтп на сервак или по поп3, которые можно подслушать любым снифером и вытащить оттуда пароли. А еще лучше - разрешают руту заходить по ссш и поп3 - вообще песня.
Вот тебе и ответ. Ну может не твой случай...

"Если кто-то был на сервере..."
Отправлено kisslong , 14-Сен-05 05:16

в логах подбора видимо, нет? однозначно чел ЗНАЕТ пасс. менять надо чаще. смени пароли юзеров из wheel дополнительно. ещё лучше логин рута смени (потом восстановить всегда можно... если некоторые софтины привязку к нему делают). посмотри, под кем ещё заходил этот чел. оставь ему приглашение на входе пива попить - может, и узнаешь подробности. вполне возможно, что ему отсылаются пассы, логи, итп. проверь мыло.