The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Разбор последствий взлома Linux-хостов выявил странную актив..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от opennews on 01-Дек-11, 15:58 
В блоге Лаборатории Касперского появилась заметка (http://www.securelist.com/en/blog/625/The_Mystery_of_Duqu_Pa...) с разбором последствий взлома двух Linux-хостов, используемых злоумышленниками для управления Windows-машинами, пораженными троянским ПО Duqu (http://en.wikipedia.org/wiki/Duqu). Хосты были представлены для анализа после того, как злоумышленники пытаясь замести следы, удалили содержимое директорий "/var/log" и "/root" с серверов. Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома.


Судя по всему управление машинами было получено в результате подбора пароля для пользователя root, которому был разрешён вход по SSH. Об этом свидетельствует длительная череда неудачных попыток входа, окончившихся удачным проникновением в систему. Из всей активности злоумышленников вызывает вопрос операци...

URL: http://www.securelist.com/en/blog/625/The_Mystery_of_Duqu_Pa...
Новость: https://www.opennet.ru/opennews/art.shtml?num=32437

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +3 +/
Сообщение от Аноним (??) on 01-Дек-11, 16:07 
> Возможно для атаки использовался какой-то эксплоит, рассчитанный на поражение CentOS.

Да все проще. Центос ломать одно удовольствие: там обновления безопасности по году не приходят.
Не понимаю, зачем его где-то вообще юзают. Все, кому нужен бесплатный рхел без гемора, уже давно ушли на SL.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +3 +/
Сообщение от Аноним (??) on 01-Дек-11, 16:31 
Можно подумать что у hardhat'а какой-то особый ssh.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от Аноним (??) on 01-Дек-11, 16:40 
Да, есть маленько. А еще у них ядро особое.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 01-Дек-11, 17:15 
> Да, есть маленько.

И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

22. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 01-Дек-11, 17:28 
SELINUX
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

42. "Разбор последствий взлома Linux-хостов выявил странную актив..."  –3 +/
Сообщение от Аноним (??) on 01-Дек-11, 19:34 
> SELINUX

Вы что, блондинка? Или зачем тут капс? Кроме того, если уж хост взломали - значит он не помог и теория о том что это очень круто не подтвердилась естественным путем.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

80. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +3 +/
Сообщение от anonymous (??) on 02-Дек-11, 01:46 
Гадайта гадайте, вот еще вариант - может как в 99.9999999% всех остальных случаев пароль рута был "777" ?
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

105. "Разбор последствий взлома Linux-хостов выявил странную актив..."  –3 +/
Сообщение от Аноним (??) on 02-Дек-11, 14:28 
> Вы что, блондинка? Или зачем тут капс? Кроме того, если уж хост
> взломали - значит он не помог и теория о том что
> это очень круто не подтвердилась естественным путем.

А еще был опровергнута теория о том, что *nix - это защищенные системы.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

124. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 16:47 
> А еще был опровергнута теория о том, что *nix - это защищенные системы.

А вот это как бы это зависит от метода взлома. А то может и правда подобрали суперпароль "777" с 8й попытки. Таким методом любую систему можно взломать :)

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

142. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Кирилл (??) on 02-Дек-11, 19:47 

> А еще был опровергнута теория о том, что *nix - это защищенные
> системы.

Вообще-то, сверх защищённые. За пару минут можно закрыть так, что и сам не попадёшь. Но это от глупости не защищает.

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

107. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 14:31 
> И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.

Тамошний ssh имеет очень мало общего с аналогичной версией из мейнстрима. Например, уже давно в редхатовском openssh 4.8 поддерживается chroot юзеров после логина, хотя в мейнстриме это добавили где-то после 5.0.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

114. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Кирилл (??) on 02-Дек-11, 14:50 
>> И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.
> Тамошний ssh имеет очень мало общего с аналогичной версией из мейнстрима. Например,
> уже давно в редхатовском openssh 4.8 поддерживается chroot юзеров после логина,
> хотя в мейнстриме это добавили где-то после 5.0.

Очень полезно пихать в песочницу рута.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

121. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 16:10 
> Очень полезно пихать в песочницу рута.

(Бес)полезно для рута == (бес)полезно для всех остальных юзеров?

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

125. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 16:48 
> Очень полезно пихать в песочницу рута.

А зачем нужен рут в песочнице? Чтобы дети могли "поиграть в сисадмина"? :)

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

8. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +2 +/
Сообщение от Анонище on 01-Дек-11, 16:43 
Куда интереснее -каким макаром произошло проникновение.  А что, что ПО меняли, так и ладно, не в музей же попали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 01-Дек-11, 16:51 
> Куда интереснее -каким макаром произошло проникновение.  А что, что ПО меняли,
> так и ладно, не в музей же попали.

Journal там пока что не внедрили, так что без шансов.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 01-Дек-11, 16:59 
>> Куда интереснее -каким макаром произошло проникновение.  А что, что ПО меняли,
>> так и ладно, не в музей же попали.
> Journal там пока что не внедрили, так что без шансов.

А что бы это изменило?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

33. "Разбор последствий взлома Linux-хостов выявил странную актив..."  –2 +/
Сообщение от Аноним (??) on 01-Дек-11, 18:20 
Никто бы даже не узнал о взломе, очевидно.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

101. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 14:15 
> Никто бы даже не узнал о взломе, очевидно.

Да, на системах с syslog о взломе можно узнать только если повезет.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

113. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Кирилл (??) on 02-Дек-11, 14:48 
Удалённая регистрация событий + вывод всех событий авторизации на старый добрый матричный принтер с рулоном бумаги.
Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

119. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 15:59 
> Удалённая регистрация событий + вывод всех событий авторизации на старый добрый матричный
> принтер с рулоном бумаги.

Получится такой аналог Journal в стиле прошлого века.

P.S. Кстати, тут пробегала инфа, что хакеры научились удаленно поджигать принтеры, гоняя их в некорректных режимах =)

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

139. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Кирилл (??) on 02-Дек-11, 19:41 

> Получится такой аналог Journal в стиле прошлого века.

Почему прошлого? У меня так на всех шлюзах. Регистрация всех важных событий локально на шлюзах идут на быстрые рулонные матричники. На практике оказалось очень полезно.

Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

151. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 03-Дек-11, 16:26 
> Почему прошлого? У меня так на всех шлюзах. Регистрация всех важных событий локально на шлюзах идут на быстрые рулонные матричники. На практике оказалось очень полезно.

До тех пор, пока хакеры не начнут их поджигать.

Ответить | Правка | ^ к родителю #139 | Наверх | Cообщить модератору

165. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от аноним1 on 09-Дек-11, 22:40 
сколько нарушителей и за сколько лет поймали, если не секрет?
Ответить | Правка | ^ к родителю #139 | Наверх | Cообщить модератору

126. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 16:49 
> принтер с рулоном бумаги.

Прочиталось как с рулоном туалетной бумаги, извините :)

Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

141. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Кирилл (??) on 02-Дек-11, 19:45 

> Прочиталось как с рулоном туалетной бумаги, извините :)

Туалетную утащат )))

Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

102. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 14:18 
> А что бы это изменило?

Был бы более-менее доверительный механизм удаленного логгирования, с авторизацией и шифрованием.
Впрочем, настоящие ценители syslog и необновленных центосов, как правило, презирают удаленное логгирование (неудивительно, с такой-то реализацией, как в syslog).

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

115. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Кирилл (??) on 02-Дек-11, 14:52 

> Был бы более-менее доверительный механизм удаленного логгирования, с авторизацией и шифрованием.

Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

118. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 15:58 
> Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.

Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец может назваться Апачом и писать в лог от его имени.

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

120. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 16:04 
>> Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.
> Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец
> может назваться Апачом и писать в лог от его имени.

А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :)

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

122. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 16:12 
> А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :)

Да и незачем. Смысл записи во много определяется ее контекстом. А нужный контекст обеспечить - не проблема.

Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

123. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 16:14 
>> А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :)
> Да и незачем. Смысл записи во много определяется ее контекстом. А нужный
> контекст обеспечить - не проблема.

В плане? Запись из error_log, указывающая на попытку взлома, чем только ни дополняй, никуда не денется. В том числе, от анализатора логов.

Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

127. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 16:50 
> дополняй, никуда не денется. В том числе, от анализатора логов.

А что помешает хакеру убрать ее втихарика без палева?

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

136. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 19:10 
>> дополняй, никуда не денется. В том числе, от анализатора логов.
> А что помешает хакеру убрать ее втихарика без палева?

Отсутствие прав (если ещё не рут, а только пытаеццо).

Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору

143. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 19:55 
> Отсутствие прав (если ещё не рут, а только пытаеццо).

Ну так если успешно попытается - права будут. У поттеринга он может разве что целиком все грохнуть, но настолько эпичная диверсия является вопиющим признаком что на машине хакер. В случае обычных логов можно втихушку вытерить записи о себе любимом и все, комар носа не подточит. Кроме разве что случая когда есть ремотный сервер, на который впрочем просто так тоже никто не полезет сравнивать лог с локальным.

Ответить | Правка | ^ к родителю #136 | Наверх | Cообщить модератору

145. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 19:59 
>> Отсутствие прав (если ещё не рут, а только пытаеццо).
> Ну так если успешно попытается - права будут.

Вот пока он будет пытаться, его и засекут. Если за машиной будут следить только полтора землекопа, и те исключительно вручную (обычно это означает раз в неделю залогиниться и глянуть top), то понятно, можно много чего пропустить.

И я молчу про то, что тот же syslog надо по-хорошему на другую машину отправлять. Которую... ну, пусть пробуют, ломают, если у неё кроме приёмника логов и SSH ничего нет. :)

Ответить | Правка | ^ к родителю #143 | Наверх | Cообщить модератору

161. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 09-Дек-11, 12:40 
> Вот пока он будет пытаться, его и засекут.

Или не засекут, в зависимости от мастерства хакера и админа.

> Если за машиной будут следить только полтора землекопа, и те исключительно
> вручную (обычно это означает раз в неделю залогиниться и глянуть top),
> то понятно, можно много чего пропустить.

Ну, можно посадить десяток китайцев самолично пакеты раскидывать, но их кормить надо и скорость в PPS'ах так себе :)

> И я молчу про то, что тот же syslog надо по-хорошему на
> другую машину отправлять. Которую... ну, пусть пробуют, ломают, если у неё
> кроме приёмника логов и SSH ничего нет. :)

Ага, только мутная активность в ssh может означать и какой-то race condition в этом самом ssh. Тогда вполне себе поломают.

Ответить | Правка | ^ к родителю #145 | Наверх | Cообщить модератору

163. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 09-Дек-11, 16:03 
> Ага, только мутная активность в ssh может означать и какой-то race condition
> в этом самом ssh. Тогда вполне себе поломают.

Эта возможность была озвучена, так как она возможно, но не слишком вероятна. А вот на подбор ламерского пароля как раз похоже. :) Хотя, конечно, зарекаться никогда нельзя.

Ответить | Правка | ^ к родителю #161 | Наверх | Cообщить модератору

133. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 18:31 
> В плане? Запись из error_log, указывающая на попытку взлома, чем только ни дополняй, никуда не денется. В том числе, от анализатора логов.

А зачем ее куда-то девать? Достаточно накидать туда еще пару сотен тысяч таких же записей с разными айпишниками и разными путями, и все, хрен кто что поймет.

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

137. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 19:11 
>> В плане? Запись из error_log, указывающая на попытку взлома, чем только ни дополняй, никуда не денется. В том числе, от анализатора логов.
> А зачем ее куда-то девать? Достаточно накидать туда еще пару сотен тысяч
> таких же записей с разными айпишниками и разными путями, и все,
> хрен кто что поймет.

Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, хоть из /dev/zero заполните всё остальное: анализатор реагирует на конкретные паттерны.

Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору

152. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 03-Дек-11, 16:29 
> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, хоть
> из /dev/zero заполните всё остальное: анализатор реагирует на конкретные паттерны.

Еще раз: лог заполняется не мусором, а вполне определенными записями, соответствующими тем самым паттернам. В результате даже на выходе анализатора логов будет огромная куча ложной информации, неотличимой от единичных истинных записей.

Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору

155. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 03-Дек-11, 21:29 
>> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, хоть
>> из /dev/zero заполните всё остальное: анализатор реагирует на конкретные паттерны.
> Еще раз: лог заполняется не мусором, а вполне определенными записями, соответствующими
> тем самым паттернам. В результате даже на выходе анализатора логов будет
> огромная куча ложной информации, неотличимой от единичных истинных записей.

И как вы собираетесь подделывать логи?

Вот вам access-лог Apache. Имеем отметку времени, IP-адрес, GET-запрос, UA, ну и что там админу ещё захочется видеть. Как вы забьёте ложной информацией первые записи, которые могут послужить индикатором проникновения, если они появляются в журнале по определению ДО того, как вы получите возможность что-то сделать? Будете заранее загаживать логи с других IP-адресов? - это всего лишь покажет: а) что атака была по факту начата раньше; б) что в access-логах действительно есть что-то ценное, и уж тогда они будут проанализированы куда пристальнее. Повторюсь, от анализатора логов это НЕ СПАСЁТ.

Ну а если у вас есть возможность непосредственно изменять логи, то это уже совсем другой разговор.

Ответить | Правка | ^ к родителю #152 | Наверх | Cообщить модератору

162. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 09-Дек-11, 12:42 
> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор,

Так надо сделать чтобы не пофиг было :). Кидаем еще 100500 записей в таком же духе. Админ худеет от необходимости анализировать 100500 инцедентов с разных айпи, отличая где там фэйк а где правда :)

Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору

164. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 09-Дек-11, 16:05 
>> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор,
> Так надо сделать чтобы не пофиг было :). Кидаем еще 100500 записей
> в таком же духе. Админ худеет от необходимости анализировать 100500 инцедентов
> с разных айпи, отличая где там фэйк а где правда :)

В таком случае фэйковые логи по определению будут идти _после_ "реальных". Этого вполне достаточно, чтобы выделить истинных виновников. Может быть fail только если ротация с удалением старых логов происходит по размеру файлов, но тут уж извините, мешать стрелять себе в ногу никто запретить не может. :)

Ответить | Правка | ^ к родителю #162 | Наверх | Cообщить модератору

140. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Кирилл (??) on 02-Дек-11, 19:43 

> Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец
> может назваться Апачом и писать в лог от его имени.

Причём тут верить или не верить. Главное зарегистрировать хронологию событий. Очень сложно произвести даже попытку взлома без явных вопиющих следов, оставленных ещё до вторжения.

Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору

153. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 03-Дек-11, 16:31 
> Главное зарегистрировать хронологию событий

... которых не было.
Любой бот может завалить лог гигабайтными потоками "какбэ событий", в которых реальные факты просто утонут.

Ответить | Правка | ^ к родителю #140 | Наверх | Cообщить модератору

166. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от аноним1 on 09-Дек-11, 22:44 
> Journal там пока что не внедрили, так что без шансов.

что за Journal, простите??


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

24. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Вова on 01-Дек-11, 17:50 
Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс (помимо фат)) можно восстанавливать файлы после удаления. Или всё-таки по старинке - grep xxx /dev/sd*?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от Hugo Reyes (ok) on 01-Дек-11, 18:02 
https://www.opennet.ru/base/sys/recover_file10.txt.html
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

34. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +3 +/
Сообщение от CrustY on 01-Дек-11, 18:27 
testdisk погугли )
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

45. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от igron (ok) on 01-Дек-11, 19:51 
foremost
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

89. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Вова on 02-Дек-11, 07:55 
спасибо всем.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

106. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 14:29 
> Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс (помимо
> фат)) можно восстанавливать файлы после удаления. Или всё-таки по старинке -
> grep xxx /dev/sd*?

photorec, ext3grep.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

37. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 01-Дек-11, 18:51 
Да никто там особо не заботился о том чтобы не взломали , выполнили свою задачу и в мусор.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от Аноним (??) on 01-Дек-11, 19:15 
Автору конечно спасибо за труды, но непонятно, к чему повествование. В 2009 какие-то злоумышленники взломали какие-то сервера под Centos, обновив на них попутно версию OpenSSH. Из этого можно сделать какие-то выводы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +3 +/
Сообщение от Аноним (??) on 01-Дек-11, 19:35 
> Автору конечно спасибо за труды, но непонятно, к чему повествование. В 2009
> какие-то злоумышленники взломали какие-то сервера под Centos, обновив на них попутно
> версию OpenSSH. Из этого можно сделать какие-то выводы?

Что с 2009 года в CentOS есть незакрытая дыра, дающая удалённо root ?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

108. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 14:32 
> Что с 2009 года в CentOS есть незакрытая дыра, дающая удалённо root ?

Если с 2009 года не обновляться, как это любят делать ценители центоса - запросто.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

47. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от Аноним (??) on 01-Дек-11, 20:04 
В последнем CentOS 5.x пакет openssh-4.3p2-72.el5_7.5.i386.rpm

В 4.3p2-10 была исправлена ошибка в GSSAPI. В заметке лаборатории касперского нет упоминания того, какая версия была до взлома. Очень похоже, что ниже 4.3p2-10 и сломали именно через эту уязвимость, хотя и утверждалось, что она не эксплуатируема.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от AdVv email(ok) on 01-Дек-11, 20:45 
Не понятно из новости, что за хосты были взломаны и как они были связаны с Duqu. Кто-то перехватил управление ботнетом ? Или управление ботнетом изначально осуществлялось с этих левых хостов ? Как-то недальновидно, потерял хост, потерял управление всем ботнетом ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +2 +/
Сообщение от AdVv email(ok) on 01-Дек-11, 20:48 
При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера" Uplink ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

128. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 16:51 
> При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера"
> Uplink ;)

Это что-то типа fate?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

169. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от AdVv email(ok) on 28-Дек-11, 11:29 
>> При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера"
>> Uplink ;)
> Это что-то типа fate?

http://ru.wikipedia.org/wiki/Uplink_%28%D0%B8...

Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

50. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 01-Дек-11, 21:23 
>пользователя root, которому был разрешён вход по SSH

Что за дурь?!

По моему все до единого сисадмины знают, что такой доступ верх безалаберности. Все книжки и руководства исходят криком: "Не делайте это!"
Ан нет - для нас закон не писан и мы САМЫЕ умные.(((
...Что же - кто-то оказался в итоге умнее.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Разбор последствий взлома Linux-хостов выявил странную актив..."  –1 +/
Сообщение от Аноним (??) on 01-Дек-11, 22:34 
>>пользователя root, которому был разрешён вход по SSH
> Что за дурь?!
> По моему все до единого сисадмины знают, что такой доступ верх безалаберности.

Дефолтовые настройки меняет мизерный процент сисадминов. Даже если в системе вход под root запрещён многие (если не большинство) хостинг-компании для арендованных серверов после заливки системы дают клиенту root-овый пароль и меняют sshd_config.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

81. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от anonymous (??) on 02-Дек-11, 01:48 
>>пользователя root, которому был разрешён вход по SSH
> Что за дурь?!
> По моему все до единого сисадмины знают, что такой доступ верх безалаберности.
> Все книжки и руководства исходят криком: "Не делайте это!"
> Ан нет - для нас закон не писан и мы САМЫЕ умные.(((
> ...Что же - кто-то оказался в итоге умнее.

Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем не проверяемые кроме автора.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

84. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 01:59 
>Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем не проверяемые кроме автора.

Вы хотите сказать что отключить вход по логину root - это дурь (делать наоборот) ? Вы может мне еще скажите что логин по ssh разрешенный только для пользователя в виде 8x1UsNxKtW8B и пароль не менее простой тоже маразм? А как насчет knockd?

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

85. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от qpq (ok) on 02-Дек-11, 02:35 
на каком сервере? IP у вас тоже генератором паролей выбирается? :)
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

148. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 03-Дек-11, 05:48 
>на каком сервере?

На моем.

>IP у вас тоже генератором паролей выбирается? :)

Конечно нет. Что за бред пишете и, главное, зачем?

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

160. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от qpq (ok) on 09-Дек-11, 12:20 
это был сарказм как бы
просто, пытался понять, зачем генерить случайное имя для пользователя? если параноить, то можно добавить эту часть к паролю, а имя оставить обычным удобочитаемым
Ответить | Правка | ^ к родителю #148 | Наверх | Cообщить модератору

86. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 05:48 
>Вы хотите сказать что отключить вход по логину root - это дурь (делать наоборот) ?

Да, дурь. Нормальный пароль не подберут в обозримом будущем. Сам пароль передается не открытым текстом. Если все же увели с юзерского компьютера root пароль от удаленной системы, то уведут и ваши "8x1UsNxKtW8B" и такая защита будет бесполезна. Опять же, если есть удаленная уязвимость, то запрет на root-логин едва ли поможет. Ко всему прочему, ходят по ключам, как правило, а не по паролям.
Объясните, мне, глупому, чем поможет запрет логина от рута?

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

87. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от xdsl on 02-Дек-11, 06:53 
>Объясните, мне, глупому, чем поможет запрет логина от рута?

Тем, что
1)крякеру надо сначала угадать юзеровский логин для удаленного входа, который на каждой системе разный, в отличие от root;
2)получение логина и пароля для удаленного входа - это полдела, надо еще, получив доступ к серверу, провести кучу манипуляций для получения рутового доступа. За это время в системе остается куча следов.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

94. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от SubGun (ok) on 02-Дек-11, 10:19 
А вы сидите и tail'ом логи смотрите 24х7
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

98. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 12:03 
> За это время в системе остается куча следов.

А откуда следует что их останется больше чем при получении рута? Кроме того, ну вот получили вы рут. А оказалось что это пустой контейнер без нифига. Там даже нагадить толком не выйдет. И чего? :)

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

109. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 14:34 
> Кроме того, ну вот получили вы рут. А оказалось что это пустой контейнер без нифига.

Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с рутовыми правами.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

129. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 16:52 
> Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с
> рутовыми правами.

А в случае лени и паранойи надо виртуалки юзать. Из них вы уже тоже умеете вылезать? :)

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

134. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 18:33 
> А в случае лени и паранойи надо виртуалки юзать. Из них вы
> уже тоже умеете вылезать? :)

Такой шанс бывает редко - для xen или vmware такие дыры находят раз в несколько лет.
В отличие от контейнеров, которые вскрываются большинством ядерных дырок.

Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору

147. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 03-Дек-11, 05:45 
>Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с рутовыми правами.

Классная пьянка. Мало что мой логин в виде "8x1UsNxKtW8B" увели и сообразили что это логин, так уже и контейнер вот-вот сломают. Что же мне делать?

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

132. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +3 +/
Сообщение от Аноним (??) on 02-Дек-11, 17:38 
> 1)крякеру надо сначала угадать юзеровский логин для удаленного входа, который на каждой
> системе разный, в отличие от root;

аксиома а:
не зависимо от того, включен или выключен логин от рута, ssh ведет себя одинаково, а следовательно злоумышленник не знает включен или выключен логин от рута.

аксиома б:
при грамотном пароле, простой перебор будет длиться годами.

аксиома в:
при настройке какой-нибудь файлтубан, атакующий замучается менять ип-адреса, а разрешение логина один раз в три секунды только подтвердит аксиому б.

> 2)получение логина и пароля для удаленного входа - это полдела, надо еще,
> получив доступ к серверу, провести кучу манипуляций для получения рутового доступа.
> За это время в системе остается куча следов.

Если у вас увели логин и пароль от удаленного хоста, то уведут и рут пароль, если он у вас есть, конечно.

Защищать нужно данные там, где они наиболее уязвимы, и как показывает практика, это юзерско-админские компы.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

149. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 03-Дек-11, 12:55 
Бред какой-то.

> юзеровский логин для удаленного входа, который на каждой системе разный, в отличие от root;

Не понял, при чем тут разные системы, и еще у вас что, на разных машинах одинаковый рут-пароль?

> 2)получение логина и пароля для удаленного входа - это полдела, надо еще, получив доступ к серверу, провести кучу манипуляций для получения рутового доступа. За это время в системе остается куча следов.

Чтобы это работало, надо запоминать рутовый и юзерский пароль в разных головах, или (в случае цифрового сейфа/пасс-менеджера) на физически разных компах, находящихся под ответственностью разных людей.

Иначе, утащив юзерский пароль, за компанию утащат и рутовый, и это не будет иметь никакого смысла. И это практически неюзабельно для тех серверов, у которых 99% обслуживания делается из-под рута (т.е. большинство).

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

104. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 14:25 
> Да, дурь. Нормальный пароль не подберут в обозримом будущем.

Ага, ага.

>This is more of an indication of a password bruteforcing rather a 0-day. So the most likely answer is that the root password was bruteforced.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

131. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 16:58 
> likely answer is that the root password was bruteforced.

Вообще, хреновый какой-то пароль если за 8 попыток подбирается. Толи вместо админа полный ламерюга, толи что-то тут не чисто.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

135. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 18:34 
> Толи вместо админа полный ламерюга

Разумеется, рутовый логин же был разрешен.

Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

103. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 14:23 
> Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем
> не проверяемые кроме автора.

Вы действительно так считаете? Тогда Duqu идет к вам!

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

88. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от kshetragia email(ok) on 02-Дек-11, 07:03 
Может быть и верх, но по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса. По крайней мере это справедливо для СentOS, Rhel, Debian. Чего не скажешь о фрюше.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

91. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Mikula on 02-Дек-11, 10:03 
>по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса.

Нормальные админы эту возможность убирают сразу после создания пользователя, который может получить рута.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

97. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от reaper (??) on 02-Дек-11, 11:48 
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может
> получить рута.

зачем? не понимаю, выключить авторизацию по паролю и все

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

130. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 16:54 
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может
> получить рута.

А какая глобальная разница? Нет, конечно от пароля 777 на руте это спасет, но если пароль нормальный - его и за 100 лет не подберут.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

138. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Кирилл (??) on 02-Дек-11, 19:37 
Это не так. Как раз доступ руту надо явно разрешать. Что, видимо, и было сделано.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

157. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от kshetragia email(ok) on 05-Дек-11, 09:46 
>>по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса.
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может
> получить рута.

Нормальные оси имеют это из коробки.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

52. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +3 +/
Сообщение от Frank email(ok) on 01-Дек-11, 22:05 
"Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома."

А в статье же говорится совсем по-другому -
"Interestingly, on Linux it is sometimes possible to recover deleted files; however, in this case we couldn’t find anything. No matter how hard we searched, the sectors where the files should have been located were empty and full of zeroes."

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +2 +/
Сообщение от Frank email(ok) on 01-Дек-11, 22:08 
И тут же после этого
"By bruteforce scanning the slack (unused) space in the ‘/’ partition, we were able to recover parts of the ‘sshd.log’ file. This was kind of unexpected and it is an excellent lesson about Linux and the ext3 file system internals; deleting a file doesn’t mean there are no traces or parts, sometimes from the past."
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

63. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от Евгений (??) on 01-Дек-11, 23:06 
> И тут же после этого
> "By bruteforce scanning the slack (unused) space in the ‘/’ partition, we
> were able to recover parts of the ‘sshd.log’ file. This was
> kind of unexpected and it is an excellent lesson about Linux
> and the ext3 file system internals; deleting a file doesn’t mean
> there are no traces or parts, sometimes from the past."

Да уж касперцы снова "открыли Америку", скорее "нехорошие" ребята пользовались rm, но есть еще и утилита shred, может они о ней не ведали, может им было все-равно, ведь кто-то должен кормить/учить касперовцев :)

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

78. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от Ytch on 02-Дек-11, 01:15 
> Да уж касперцы снова "открыли Америку", скорее "нехорошие" ребята пользовались rm, но есть еще и утилита shred, может они о ней не ведали

Ну как бы сами же "касперцы" и намекают на это когда анализируют .bash_history. Тот факт, что проникнув на чужую машину "нехорошие" ребята (если это, конечно, их bash_history) вызывают man и команды с ключом --help (вместо того чтобы сделать это хотя бы у себя локально, в крайнем случае), а также ставят pico и/или nano, чтобы поправить несколько символов в конфиге (там vi что ли нет?) не говорит ни о высоком уровне грамотности, ни об осторожности (хотя может просто излишне самоуверенные).

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

55. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 01-Дек-11, 22:36 
Не сработал простой метод, попробовали другой и нашли данные, что не так ?
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

56. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +2 +/
Сообщение от chelovek on 01-Дек-11, 22:42 
Вот что то я не понял. Какой смысл в этой новости? Больше на какие то сплетни походит во дворах, бабушек. "Вот воры залезли, через дверь... И как они её открыли. И не выломали,.... И почему они потом закрыли дверь, а не оставил открытой." Да захотели и обновили блин! ))) Может им воспитание не позволило работать на старом ПО.

"и перед первым удачным входом был восьмиминутный перерыв"
Омг... Пописять/покурить/пофапать ходил хакер. ))))) Что в этом такого таинственного!.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 01-Дек-11, 22:54 
> "и перед первым удачным входом был восьмиминутный перерыв"
> Омг... Пописять/покурить/пофапать ходил хакер. ))))) Что в этом такого таинственного!.

Ага подбирал пароли не скриптом, а вручную, пописал и сразу правильный пароль подобрал.

Там слишком много совпадений и странных вещей. Я склоняюсь к тому, что в OpenSSH 4.3 из CentOS криво пропатчили дыру в GSSAPI (http://secunia.com/advisories/22173/). И вообще с этой дырой в GSSAPI мутная история, вначале писали что remote root, потом DoS, потом что не эксплуатируется, а потом замяли как-то, но исправления выпустили.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

58. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от chelovek on 01-Дек-11, 22:57 
Ну а почему нет? Вот у меня бывает умные идеи или в толчке или на курилке приходят весьма неожиданно!.)))))))
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

60. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +2 +/
Сообщение от pavlinux (ok) on 01-Дек-11, 23:00 
> Омг... Пописять/покурить/пофапать ходил хакер.

Это период цикла работы брутфорс скрипта.

Вот к нам тоже, каждый день, аккурат с 13:00 до 14:00,
примерно раз в 7 минут по 4 подхода долбят. :)
Я их уже логи SSH как телевизор смотрю... Всё думаю,
мож чего нового придумают, ан-н-н нет:

root, RooT,rO0t, r00t, ruut, ryyt, admin, administator,
god, g0d, godroot, rootgod, rootgood, rootgood, jedy,
veider, matrix, neo, trinity, ....

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

64. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 01-Дек-11, 23:10 
> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
> раз в 7 минут по 4 подхода долбит. :)

А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

65. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от pavlinux (ok) on 01-Дек-11, 23:12 
>> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
>> раз в 7 минут по 4 подхода долбит. :)
> А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)

Ну вообще-то авторизация только по ключам и рута низя.
Да и вообще, уже перенёс на другой порт...
Cкучно стало, в логах только записи крона... :(

Но фигня, ещё есть web сервер!!! Там постоянно бутфорсят
на наличие PHPMyAdmin и стандартные страницы авторизации
и пароли от полулярных SMS.

---

61.250.80.133 - - [27/Nov/2011:12:02:07 +0400] "GET /user/soapCaller.bs HTTP/1.1" 301 486 "-" "Morfeus Fucking Scanner"

95.110.225.52 - - [27/Nov/2011:22:28:28 +0400] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 415 "-" "-"

31.44.184.245 - - [27/Nov/2011:23:50:31 +0400] "POST http://myinfo.any-request-allowed.com/?strGet=get3294 HTTP/1.1" 301 480 "-" "-"

180.210.203.86 - - [01/Dec/2011:21:24:59 +0400] "GET /phpMyAdmin-2.11.2.2/scripts/setup.php HTTP/1.1" 301 518 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:57 +0400] "GET /websql/scripts/setup.php HTTP/1.1" 301 497 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:53 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:53 +0400] "GET /web/phpMyAdmin/scripts/setup.php HTTP/1.1" 301 509 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:54 +0400] "GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 301 512 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:55 +0400] "GET /web/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:56 +0400] "GET /php-my-admin/scripts/setup.php HTTP/1.1" 301 505 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:48 +0400] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 301 512 "-" "ZmEu"
200.98.197.72 - - [01/Dec/2011:16:19:43 +0400] "POST /_vti_bin/_vti_aut/author.dll HTTP/1.1" 301 525 "-" "core-project/1.0"
61.183.23.146 - - [01/Dec/2011:20:04:49 +0400] "HEAD /manager/html HTTP/1.0" 301 225 "-" "-"
180.210.203.86 - - [01/Dec/2011:21:23:41 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 527 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:31 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 527 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:31 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 503 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:32 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 502 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:32 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:33 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 301 498 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:33 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 301 499 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:39 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 527 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:40 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 503 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:40 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 502 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:41 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:42 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 301 498 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:42 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 301 499 "-" "ZmEu"

DLL-ку какую-то искали

200.98.197.72 - - [01/Dec/2011:16:19:43 +0400] "POST /_vti_bin/_vti_aut/author.dll HTTP/1.1" 301 525 "-" "core-project/1.0"

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

73. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +4 +/
Сообщение от Ytch on 02-Дек-11, 00:25 
Такая же фигня. Я вот думаю создать, что ли, пару из этих файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний вид оригинала (с намеком, например, на возможность root доступа к базам - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban как-то не так смешно.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

74. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от pavlinux (ok) on 02-Дек-11, 00:49 
> Такая же фигня. Я вот думаю создать, что ли, пару из этих
> файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний
> вид оригинала (с намеком, например, на возможность root доступа к базам
> - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть
> особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный
> мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban
> как-то не так смешно.

180.0.0.0/2 можно смело банить :)
13x.0.0.0, 6x.0.0.0 , 3x.0.0.0  - самые ботнетцкие адреса.

Видимо в Южной Америке и Азии самые ацтойные админы. :)

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

159. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от un4me (??) on 06-Дек-11, 11:46 
> 180.0.0.0/2 можно смело банить :)
> 13x.0.0.0, 6x.0.0.0 , 3x.0.0.0  - самые ботнетцкие адреса.

Тогда уж советую:

-A INPUT -m geoip --source-country A1,AD,AE,AF,AG,AI,AO,AP,AQ,AW,AX  -j DROP
-A INPUT -m geoip --source-country VN,MX,IN,TH,EG,PH,MK,KR,PK,TR,TW  -j DROP
-A INPUT -m geoip --source-country CN  -j DROP
-A INPUT -p tcp -m tcp --dport 137 -j CHAOS --tarpit
-A INPUT -p tcp -m tcp --dport 138 -j CHAOS --tarpit
-A INPUT -p tcp -m tcp --dport 139 -j CHAOS --tarpit
-A INPUT -p tcp -m tcp --dport 445 -j CHAOS --tarpit
-A INPUT -m psd --psd-weight-threshold 21 --psd-delay-threshold 300 --psd-lo-ports-weight 3 --psd-hi-ports-weight 1  -j DROP

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

92. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от ФФ (ok) on 02-Дек-11, 10:11 
зачОтно :)
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

110. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от Аноним (??) on 02-Дек-11, 14:37 
> Такая же фигня. Я вот думаю создать, что ли, пару из этих
> файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний
> вид оригинала (с намеком, например, на возможность root доступа к базам
> - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть
> особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный
> мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban
> как-то не так смешно.

Эта идея существует уже давно и называется honeypot. Настоящие исследователи в области безопасности (а не такие, как у касперского) создают целые сети таких хостов и изучают по ним поведение хацкеров.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

76. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от stamnik (ok) on 02-Дек-11, 00:58 
>>> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
>>> раз в 7 минут по 4 подхода долбит. :)
>> А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)
> Ну вообще-то авторизация только по ключам и рута низя.
> Да и вообще, уже перенёс на другой порт...
> Cкучно стало, в логах только записи крона... :(
> Но фигня, ещё есть web сервер!!! Там постоянно бутфорсят
> на наличие PHPMyAdmin и стандартные страницы авторизации
> и пароли от полулярных SMS.

Если хост не сильно критичный к нагрузкам то весьма забавно на некоторое время включить вот это https://www.opennet.ru/docs/RUS/iptables/#MIRRORTARGET
Только очень осторожно. Ибо проц начинает жрать неимоверно. Да и трафик подъедает тоже не слабо.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

111. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 14:40 
> Если хост не сильно критичный к нагрузкам то весьма забавно на некоторое
> время включить вот это https://www.opennet.ru/docs/RUS/iptables/#MIRRORTARGET
> Только очень осторожно. Ибо проц начинает жрать неимоверно. Да и трафик подъедает
> тоже не слабо.

По-моему, эту штуку удалили из ядра лет пять назад, как минимум.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

82. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от Ytch on 02-Дек-11, 01:49 
>"Против данной гипотезы указывает то, что пароль был подобран после относительно небольшого числа попыток и перед первым удачным входом был восьмиминутный перерыв"

Оригинал гласит (да и по логам в оригинале видно):
>Note how the "root" user tries to login at 15:21:11, fails a couple of times and then 8 minutes and 42 seconds later the login succeeds.

Не было никакого перерыва. Вход был осуществлен через 8 минут 42 секунды после начала подбора. И это, по их версии, как раз лишний раз подтверждает теорию подбора пароля:

>This is more of an indication of a password bruteforcing rather a 0-day. So the most likely answer is that the root password was bruteforced.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

96. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 02-Дек-11, 10:33 
> Не было никакого перерыва. Вход был осуществлен через 8 минут 42 секунды
> после начала подбора. И это, по их версии, как раз лишний
> раз подтверждает теорию подбора пароля:

Перерыв был, но не  8, а 3 минуты: по скриншоты лога отлично видно, что последняя неудачная попытка была 15:27:12, а затем вход в 15:29:53


Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

59. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 01-Дек-11, 22:59 
Злоумышленники обновили OpenSSH до 5 версии, это самое интересное. Это наверное, скрытый способ доказательства важности своевременного обновления. Что же касается CentOS то лично я, не считаю ее операционной системой вообще. Не понимаю, почему все за нее так  держаться, особенно если учесть периодичность выхода обновлений.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

83. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от anonymous (??) on 02-Дек-11, 01:56 
> Злоумышленники обновили OpenSSH до 5 версии, это самое интересное. Это наверное, скрытый
> способ доказательства важности своевременного обновления. Что же касается CentOS то лично
> я, не считаю ее операционной системой вообще. Не понимаю, почему все
> за нее так  держаться, особенно если учесть периодичность выхода обновлений.

Долгое время это была RedHat для бедных, все работало как часы. Но со времен когда Oracle выпендринулся со своим клоном и руководство RedHat решило начать сопротивление все покатилось под откос. Вероятно, прекратили все негласные контакты с Centos, наряду с сливанием индивидуальных патчей ядра и прочими пакостями.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

67. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 01-Дек-11, 23:14 
Всё просто. Алгоритм взлома:

1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH (< 4.3p2-10) под CentOS.
2. При обнаружении используется публично не засвеченный эксплоит.
3. Обновляем openssh, чтобы другие скрипты, работающие на других узлах ботнета, не сломали ещё раз.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от pavlinux (ok) on 01-Дек-11, 23:28 
> Всё просто. Алгоритм взлома:
> 1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH
> (< 4.3p2-10) под CentOS.
> 2. При обнаружении используется публично не засвеченный эксплоит.

Если читал внимательно, то рута получили обычным бутфорсом.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

71. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от Аноним (??) on 01-Дек-11, 23:37 
>> Всё просто. Алгоритм взлома:
>> 1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH
>> (< 4.3p2-10) под CentOS.
>> 2. При обнаружении используется публично не засвеченный эксплоит.
> Если читал внимательно, то рута получили обычным бутфорсом.

Это вам так кажется :-) Вначале разведку провели, а уже потом тяжелая артиллерия в бой вступила.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

72. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от pavlinux (ok) on 02-Дек-11, 00:21 
Мне не кажется, читаю то, что пишут.

"В качестве наиболее вероятного способа проникновения в систему рассматривается результат
"атаки по подбору пароля для пользователя root, которому был разрешён вход по SSH."


Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

90. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Xing on 02-Дек-11, 08:48 
перебор за 8 минут???
у меня что-то на это очень много времени уходило, скорее всего была использована уязвимость, возможно перехват, подбор из того что перехватили, перебор для отвода глаз
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

168. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 26-Дек-11, 17:47 
У меня обычно стоит fail2ban который при 3х неудачных попыток подбора добавляет правила дропа в фаервол на 30 минут, при таких условиях перебор пароля бы занял минимум час. Это не великея хакеро, на лицо обычная халатность
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

77. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +1 +/
Сообщение от adolfus email(ok) on 02-Дек-11, 01:02 
Дйля беспарольного доступа ssh использует, в основном, две крипто системы -- rsa и dsa. Эти криптосистемы различаются как кислое и мягкое. Подозреваю, что произошел существенный прорыв либо в разложении двусоставного числа на множители (rsa) либо в отношении вычисления дискретного логарифма (dsa). По умолчанию в 5-й версии используется rsa. Если в 4-й что-то другое, это означает rsa под контролем. В смысле, что реально современные математики совершили подвиг.  Если же в 4-й тоже использовалась rsa, можно подозревать, что математика пока топчется на месте, но в говне pkcs11 -- ВСЕ КЛЮЧИ, ЧТО ВЫ ГЕНЕРИТЕ, СЛИВАЮТСЯ В ФБР. Итак, если в 4-м ssh криптосистема по-умолчанию не есть rsa, это значит прорыв в математике, сравнимый с высадкой на Марс. Если же там таки rsa, это всего лишь спецоперация подлога протокола.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

79. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 01:32 
ИМХО, хакеры не хотели, чтобы кто-то "переимел" систему за счёт какой-то незакрытой уязвимости, и честно обновляли OpenSSH. Ну ещё и щелчок по носу админам неплохой, а куда ж взломщикам без этого?

Но это лишь ИМХО. :)

BTW, насчёт 5.8p1 => p2, в release notes есть такое:

* Fix compilation failure when enabling SELinux support.

Это укладывается в теорию выше: возможно, до этого openssh скомпилировали без поддержки SELinux, а после обновления до 5.8p2 смогли включить обратно. Так как уровень взломщиков был невысокий, то нет ничего удивительного в том, что они не стали сами заморачиваться с исправлением проблем компиляции.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

99. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от StaS (??) on 02-Дек-11, 13:33 
А банальный firewall  когда успели отменить ?
и не тебе  брутфорс, и не тебе не известные эксплоиты для ssh ))

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

112. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 14:46 
> А банальный firewall  когда успели отменить ?
>  и не тебе  брутфорс, и не тебе не известные эксплоиты
> для ssh ))

Фаервол не спасёт от медленного перебора. Судя по времени подбора, там банально был простой пароль, типа qwerty123. Так что админы сами себе злобные буратины, на что и тухлая версия OpenSSH как бы намекает.

(ну да, да, некоторые ещё port knocking используют - пока однажды не столкнутся с ситуацией, что из-за него не получается пробиться легитимному юзеру)

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

117. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Кирилл (??) on 02-Дек-11, 14:59 
> А банальный firewall  когда успели отменить ?
>  и не тебе  брутфорс, и не тебе не известные эксплоиты
> для ssh ))

Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя, который ввёл штатный пароль рута?

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

144. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от StaS (??) on 02-Дек-11, 19:57 
>> А банальный firewall  когда успели отменить ?
>>  и не тебе  брутфорс, и не тебе не известные эксплоиты
>> для ssh ))
> Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько
> банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя,
> который ввёл штатный пароль рута?

на столько банальный что не светит на весь мир ssh порт, что сводит к минимуму бурутфорс и использование эксплоитов.  

Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

146. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 20:01 
>>> А банальный firewall  когда успели отменить ?
>>>  и не тебе  брутфорс, и не тебе не известные эксплоиты
>>> для ssh ))
>> Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько
>> банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя,
>> который ввёл штатный пароль рута?
> на столько банальный что не светит на весь мир ssh порт, что
> сводит к минимуму бурутфорс и использование эксплоитов.

А вот это в 99% случаев - глупость. Ибо лишает самого админа возможности оперативно что-то починить. SSH надо прикрывать фаером, но не полностью, а только ограничивать количество TCP-подключений с одного IP-адреса в единицу времени.

Ответить | Правка | ^ к родителю #144 | Наверх | Cообщить модератору

150. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от vi on 03-Дек-11, 14:40 
Не, надо так:
После того как стало понятно, что это попытки взлома, перенаправлять весь этот трафик на сервера отдела К9, пусть работают (шутка, у них и так работы много!).
Перенаправлять трафик на какой нибудь HoneyPot исследовательский, пусть ребята учатся друг у друга (если это конечно не ученики по заданию учителя тренируются ;)
Главное самому не "спалится", когда будешь заходить "поадминить"!
Ответить | Правка | ^ к родителю #146 | Наверх | Cообщить модератору

156. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от wildhawk on 04-Дек-11, 13:28 
Этот прорыв в математике совершили еще до 21 века советские ученые. Кроме того, не советую использовать встроенные средства аппаратной криптографии, которые доступны на ителловских платформах.
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

158. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от anonymous (??) on 05-Дек-11, 12:50 
дайте ссылку пожалуйста...
Ответить | Правка | ^ к родителю #156 | Наверх | Cообщить модератору

154. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 03-Дек-11, 16:59 
Там в .bash_history прикольный команды, особенно улыбнуло iptables -F, а если политика DROP на INPUT ) Видно какеры какие-то.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

167. "Разбор последствий взлома Linux-хостов выявил странную актив..."  +/
Сообщение от Аноним (??) on 26-Дек-11, 17:39 
Брутфорс мозга верить в непроверенные гипотезы каспера(призрака шалунишку), который удалил осла в 2009 году, за что его все любят и ненавидят, могли бы задать опросник сообществу центосников с коментами аля аффтар жжёш!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру