Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Obecná podpora => Téma založeno: kejml 19 Února 2008, 23:46:54
-
Zdar vespolek !
Poslední dny jsem na mém Ubuntu 7.10 "servříku" ladil pár posledních věcí a nabízelo se mi pár aktualizací. Tak jsem je stáhnul a dnes před pokračováním v práci, jsem mašinku restartoval.
Nestačil jsem se divit ... první co mě zarazilo bylo zjištění, že nemůžu zadat ani příkaz "sudo mc" a do konzole se mi vypisovalo, že můj uživatel není mezi sudoers.
Jdu do menu Systém > Administrace a tam vidím jen asi 6 ikon...
Než se to stalo, tak jsem zadával poprvé nového uživatele v grafickém režimu ze správy uživatelů. Přidal jsem nějakého usera ale místo toho se tam objevil root. Pak už jsem nemohl vůbec nic ...
Pod sudem se mi nedařilo nic spustit a tak jsem rebootoval a spustil safe mod a uživateli root změnil heslo,
svého uživatele přidal do skupiny admin a změnil mu také heslo ...
Jenže teď mi mašinka už nebootuje do grafiky a nenechá mě se ani pod jedním z uživatelů přihlásit.
Jsem z toho úplně zoufalý, protože jsem to včera konečně po 2 měsících všechno dokončil včetně mého
webu a webu jednoho známého, kterému tam mám hostovat stránky a mail k jeho doméně a slíbil jsem
mu, že už to poběží minulý týden.
Napadlo mě nabootovat z Live CD a data na disku normálně vidím ... když chci ale nabootovat z disku, tak
mi systém v průběhu bootu vypisuje FAIL u spousty věcí včetně MySQL a pro mě dost důležitých věcí ...
Pochopitelně nemám zálohu toho webu, který jsem tenhle víkend složitě naplnil daty...
Najde se někdo, kdo by měl chvilku mi nějak pomoci, případně alespoň nějak nesměroval, jak systém dostat zpět do chodu, prosím ?
Nějaká oprava instalace z CD, nebo nějaké defaultní nastavení alespoň pro to bootování apod. ? S Linuxem
jako takovým dělám teprve pár měsíců (jen a jen díky Ubuntu, které mě hrozně uchvátilo) a i když
nejsem žádný guru, doteďka jsem neměl jediný problém a vše si nastavil a nainstaloval sám podle
různých návodů na ubuntu.cz a com, různých diskuzních fórech, manuálech apod.
Tady jsem ale v pasti a je mi z toho do breku ... nevím co přesně a jak prohlídnout, jestli to někdo hacknul
nebo ne, ale např. v /home jsem našel adresář /ftp s uvítacím textem o nějakém experimentálním FTP apod. o kterém si jsem jistý, že tam nebyl, protože jsem měl FTP řešeno zcela jinak a mnohem bezpečněji. O systému jako takovém si jsem taky vceklu jistý, že nebyly otevřené žádné porty, uživatelé bez hesla nebo slabá hesla apod.
V iptables bylo povoleno spojení jen pro 2 IP adresy, které mám v práci + pár portů jako FTP, WEB atd.
edit : teď jsem si např. všimnul, že v /boot/grub je nějaký gzip archiv initrd.img-2.6.22-14-generic který tam přibyl v pondělí 18.2.2008 v 8:44, což jsem tam já rozhodně nijak dát nemohl ani omylem. Má 6,9 MB a je tady od něj taky ještě záloha o stejné velikosti...
Pomůže někdo, prosíím ? :'(
-
V prvni rade prozkoumejte /var/log/auth.log, pokud budete mit sebemensi podezreni ze se vam nekdo naboural do systemu, zazalohujte data a provedte kompletni reinstalaci.
-
V prvni rade prozkoumejte /var/log/auth.log, pokud budete mit sebemensi podezreni ze se vam nekdo naboural do systemu, zazalohujte data a provedte kompletni reinstalaci.
Díky moc za superrychlou reakci, Lukáši ! ;)
auth.log jsem prohlížel řádek po řádku, ale přiznám se, že nevím co konkrétně a jak hledat ... záznamů je tam spousta ...
Podezření opravdu mám ale zatím přesně nevím, jak si je mohu potvrdit, případně vyvrátit ...
Jsem ale vcelku přesvědčený, že to bylo nadstandartně zabezpečeno ... ale i tak asi málo. Laboroval jsem poslední
dny s smtp (postfix) a tak se mohla stát nějaká chyba ... Nevím , jsem z toho nešťastný ... 2 měsíce poctivé práce v trapu.
Stačí mi, když si zazálohuju adresáře bin, etc, home, sbin, usr, var abych to pak byl schopen dostat do nějaké
podoby jako to bylo před tím crashem ? Podaří se mi nějak dostat data z MySQL databáze, když bootnu např. z toho LiveCD, prosím ?
-
Kazdy zaznam v logu odpovida jednomu prihlaseni. Pokud nejake prihlaseni vypada ze neni vase, muze se jednat o (pokus o) utok hackera.
Pokud se skutecne jednalo o utok hackera a nechal vam v systemu nejaky darecek v podobe rootkitu nebo backdooru, prenesenim obsahu adresare bin, sbin atd. si prenesete i toto svinstvo.
MySQL data jsou nekde v /var/lib/mysql (asi?).
-
OK, díky moc za tipy. Prozkoumám to. Už jsem to prohlížel, ale nezdá se, že by se na to přihlašoval nebo zkoušel přihlašovat nějaký jiný
uživatel ... Problém bude asi trošku jinde, když nad tím teď tak přemýšlím ...
Běžel mi na tom redakční systém Joomla a tak je možné, že někdo objevil nějakou bezpečnostní díru a nějak se dostal k heslu, které je uloženo v nějakém config.php souboru. Ten sice normálně nejde nechat vylistovat nebo nějak zobrazit apod. ale čert ví ... No a já měl pochopitelně v době testování to heslo stejné jako na admina, protože jsem byl shnilý zadávat milion rozdílných hesel, takže pokud by se to čistě teoreticky někdo prolomil touhle cestou, mohl to heslo získat :-[
-
Ahoj, ja bych ti doporucil zalohu a reinstalaci a to z jednoho prosteho duvodu. At uz byl duvod tvych problemu jakykoliv, tak evidentne nebude az tak lehke zjistit, v cem problem je a i kdyby se ti nakrasne podarilo system rozchodit, dal bych ruku do ohne za to, ze tam jeste zustane spousta spiny. Nemyslim jen pripadne backdoory, ale taky chybne konfiguraky, poskozene soubory ci spousta dalsich veci, ktere neobjevis. Nemusi se hned projevit, ale po case (treba pri prvni aktualizaci) ti system totalne zes*rou.
-
Ahoj, ja bych ti doporucil zalohu a reinstalaci a to z jednoho prosteho duvodu. At uz byl duvod tvych problemu jakykoliv, tak evidentne nebude az tak lehke zjistit, v cem problem je a i kdyby se ti nakrasne podarilo system rozchodit, dal bych ruku do ohne za to, ze tam jeste zustane spousta spiny. Nemyslim jen pripadne backdoory, ale taky chybne konfiguraky, poskozene soubory ci spousta dalsich veci, ktere neobjevis. Nemusi se hned projevit, ale po case (treba pri prvni aktualizaci) ti system totalne zes*rou.
Jojo, díky za tipy, přeinstalaci mám v plánu, protože v tomhle stavu je systém stejně zcela nepoužitelný, ikdyž už se mi tam daří
aspoň přihlásit. Můžeš mě aspoň nasměrovat, jak a co mám zazálohovat, prosím ? Je mi jasné, že to nemá smysl zálohovat celé tím skriptem, co je tady na webu, když tam zřejmě bude spousta nějakých změn a špíny, ale pár klíčových věcí bych zazálohoval rád. Včera jsem zkoušel některá data zkopírovat na externí disk, ale nedaří se mi kvůli oprávněním. Rád bych si vykopíroval aspoň jednu databázi z MySQL + nějaké konfiguráky jako např. nastavení PHP, Postfixu atd.
Je to peklo, ale každopádně to určitě bude dobrá zkušenost. I když jsem měl dobře zabezpečený systém, zřejmě instalací méně zabezpečeného redakčního systému a mojí blbostí jsem někomu otevřel dveře dokořán ... protože jsem v Linuxu ještě pořád v začátcích, tak jsem tam měl nainstalovaného webmina, u kterého jsem měl stejné heslo jako na správu webu - moje blbost, přiznávám...Takže jestli někdo nějakým způsobem dostal heslo z toho konfiguráku webu a zkusil webmina,tak získal kontrolu nad celou mašinou. A to jsem měl na HW FW různě forwardované úplně jiné, nestandartní porty atd.
Můžeš mi prosím Tě poradit, jakým způsobem se na takovéhle situace připravit ? Jak nastavit nějaké denní, třeba rozdílové, zálohování, které bych spouštěl vždy před nějakou úpravou systému a pak třeba po ní a abych byl schopen v takovémto případě systém nějak jednoduše obnovit ze zálohy a fungovat dál bez nutnosti instalovat a konfigurovat vše znovu ?
(Možná jsem to měl pár dní nechat tak a sledovat, co se bude dít ... jenže to si teď nemůžu dovolit, protože ten stroj potřebuju...každopádně na tom FTP co se tam objevilo by se časem podle mě určitě začalo něco objevovat...na druhou stranu by to určitě nic legálního nebylo a nehodlám čekat,až mi u dveří zazvoní softwarová nebo mravnostní policie či kriminálka...)
-
db se da zalohovat takto:
mysqldump --all-databases -u root --password=heslo_roota_do_mysql | gzip - > zaloha_db.gz
-
V prvni rade bych doporucoval nabootovat v recovery mode (pri spusteni PC vypisuje hlasku GRUB loading a odpocitava vteriny, stisknete ESC a vyberte nejaky ze starsich kernelu a recovery mode) - tim nabootujete masinu a budete prihlaseny jako root. V tu chvili muzete vykopirovavat dle libosti. Dost mozna bych okamzite Server odpojil od site, pripadne zakazal vzdalene prihlaseni.
Zalohovat bych doporucil pouze veci, o kterych si muzete myslet, ze nejsou napadene - /var/lib/mysql, dulezita data (dokumenty atd.), co se tyce konfiguraku, radeji bych vse nastavoval znova na cistem poli, protoze staci jedna pridana radka ... takze na /etc bych zapomenul ...
Doporucil bych vse udelat co nejrychleji, protoze jestlize se nekdo dokazal do systemu dostat, muze radit dle libosti. Zkopiroval bych si tak cele /var/log - to kvuli pozdejsimu hledani pruniku a zpusobu pruniku. Pravdepodobne se nekomu povedlo "uhadnout" vase heslo, nebo jste mel spatne nastavena opravneni na /boot a bezny uzivatel prepsal jadro svym vlastnim. Kazdopadne pokud si clovicek nedal praci se zahlazenim stop, dopatrame se, co se stalo. Take bych doporucoval zmenit heslo. Vytvorit silnejsi. Pokud pouzivate stejne heslo na vicero serverch/uctech/atd. zcela urcite jej zmente vsude.
Denni rozdilove zalohovani se nastavit da a je to docela jednoduche, nicmene ted by mne byt vami zajimal spise aktualni problem :)
-
V první řadě, ještě jednou mockrát díky za rady ! Pokud to není nutné, tak mi není třeba vykat, jestli to teda nevadí.
Do toho recovery modu jsem bootoval hned jako první pokus o záchranu systému. Změnil jsem rootovi heslo a pak
jej dle návodu tady na serveru zase deaktivoval. Jenže jsem nevěděl, jak z příkazové řádky namountovat ten USB
disk a nakopírovat si na to ta data...to musím teprve nastudovat, jak na to. Zatím jsem to vlastně nikdy nepotřeboval.
Už pátrám po možnostech zálohování atd.
Ten server je nejen odpojený od netu, ale dokonce i vypnutý ... v tomhle stavu v jakém je tam stejně nic nefungovalo
jak má, takže nemělo smysl jej nechat běžet ... :-(
Logy si vykopíruju - to je dobrá myšlenka !
Neřekl bych, že to heslo někdo uhádnul - spíš jsem narazil na bezpečnostní chybu v Joomla!, zvěřejněnou minulý týden.
Odtud si asi přečetl heslo z konfiguráku, které jsem měl po dobu testování bohužel nastavené stejné jako pro správce systému.
Velká, převeliká chyba ... nojo, co se dá dělat ... chybami se člověk učí ...
Nejen že pro jistotu změním všude hesla, ale zřejmě i uživatelská jména atd. A taky se asi velice rychle pro jistotu
zbavím různých udělátek jako je webmin apod. Pomalu začínám chápat, proč v Linuxu platí nepsané pravidlo že méně
může znamenat více ... s takovou se k výhradnímu používání konzole dostanu zřejmě velice rychle ...
-
Tak Tvuj poslendi prispevek a zejmena posledni odstavec by si zaslouzil vytisknout a dat za sklo :D
Jinak pripojeni toho USB disku by nemel byt az takovy problem, pokud je linuxem podporovan - po pripojeni se vytvori v /dev dalsi zarizeni oznacene pravdepodobne jako sdx (kde x je lib. pismeno v poradi, protoze predpokladejme sda je prvni systemovy disk, takze napr. sdb, sdc, sdd ...), nasledne by tedy melo stacit toto (zalezi, co je na nem za filesystem):
sudo mkdir /media/extdisk
sudo mount -t ext3 -o iocharset=utf8 /dev/sdx /media/extdisk
a pak uz operovat dle libosti :)
-
Tak Tvuj poslendi prispevek a zejmena posledni odstavec by si zaslouzil vytisknout a dat za sklo :D
Jojo, já si to samozřejmě uvědomuju, ale znáš to ... je to přesně podle Murphyho zákonů ... "tak a teď už
jen doladím to smtp a mám to všechno hotovo a můžu to zazálohovat..." Omyl !! A aby toho nebylo málo, tak
mi zrovna teď volal ten kámoš co tam má web, že mu nejedou stránky, že už to změnil na Seznamu na tenhle
odkaz a že mu taky nejede mail apod. Nojo, normálně bych řekl, že co se může pokazit, to se taky pokazí, jenže
v tomhle případě si můžu tak maximálně sypat popel na hlavu sám sobě ... Nainstaluju to všechno v rámci hesla
"opakování matka moudrosti" znova ... jenže teď už mám docela strach tam znovu nasadit Joomlu!, aby mě nepotkalo
za pár dní zase něco obdobného ...
-
nesmis si davat stejne jmeno a heslo vsude jen.. pokud budes mit vsude jine heslo atd tak nebude problem imho ;-)
-
ja nemyslim, ze jsi byl "hacknut" // ps. najdi si na wiki co znamena vyraz 'hacker'
spis to tipuju, ze problem byl nekde jinde
-
Jestli ma ten stroj verejnou IP , je napadeni mozne. Napadeny stroj se ovsem chova velmi nenapadne. Zkuste prikaz.
# lsattr /*
Melo by to vypadat nejak takto.
------------------ /sbin/modprobe
... atd
Jestli je to hackle, budou u nekterych systemovych souboru nahozene atributy RO.
Dale proskenovat programem rkhunter, pripadne chkrootkit, oba jsou v repozitarich.
Pokud je system zkompromitovany, je nutna reinstalace, opravit to nejde.
Pred dalsi instalaci si pripravit nejaky funkcni firewall.
Edit: proskenovat vysoka cisla portu nad 1024, jestli neni otevreny nejaky neobvykly, napr. nmapem, nebo aspon knockerem.
-
podle mě stroj nebyl hacknut.. spíš to bude těmi pokusy a různými instalacemi. navíc hackeři(nebo spíš crackeři) mívají jiné cíle, než server učinit nepoužitelným :)
-
nesmis si davat stejne jmeno a heslo vsude jen.. pokud budes mit vsude jine heslo atd tak nebude problem imho ;-)
Vážně super rada ... na to bych sám nikdy nepřišel - díky ... ;) BTW: jako "ajťák", správce sítí, serverů a posledních pár let
jako IT manažer se živím už více než 13 let, takže to že jsem začátečník v linuxu ještě nutně nemusí znamenat, že jsem idiot, ne ? :D
Já tady ty pravidla, kdo bude mít jaké heslo a jak často jej bude měnit a jak bude silné určuju, takže v tom bych vážně problém neviděl ... ::)
Problém je, že když nasadíš nějaký děravý systém nebo web na totálně zabezpečený systém, otevřeš zase dveře dokořán - viz. jak jsem
psal nahoře o nějaké té kritické bezpečnostní chybě v tom redakčním systému...každopádně moje blbost byla, že jsem měl pro tu správu toho webu dočasně nastavené stejné heslo, když jsem to ladil, abych nemusel pořád dokola zadávat milion hesel atd. Nojo, co už, za blbost se platí ...
-
ja nemyslim, ze jsi byl "hacknut" // ps. najdi si na wiki co znamena vyraz 'hacker'
spis to tipuju, ze problem byl nekde jinde
No, prosil jsem spíš o radu či o pomoc, než o vysvětlení rozdílu mezi pojmem hacker a cracker, ale budiž, souhlasím, máš pravdu ;)
Tak jinak : domnívám se, že na základě bezpečnostní chyby v redakčním systému, který jsem používal na mém serveru, došlu k úspěšnému útoku na můj systém, který po dlouhou dobu fungoval bez jediného problému a nedělal jsem žádné výrazné změny.
Po restartu jsem zjistil, že jsou změny v adresáři /boot , v /home/ se mi objevila složka "FTP" , která tam nikdy nebyla ani nemohla být, protože FTP mám řešeno jinak ... tato složka podle konfiguráků povolovala přihlášení anonymous ... uvítací zpráva FTP jasně hlásala Welcome on an experimental online storage ... in a case of trouble please contact : konkrétní mailová adresa kterou jsem v životě neviděl a neznám.
Při přihlášení do X Windows jsem v menu správa systému měl jen pár základních ikon , příkaz sudo mi vypisoval, že můj uživatel (kterého jsem doposud používal pro sudo) není v souboru /etc/sudoers a byl funknčí pouze uživatel root, kterého jsem nikdy nepoužil ani neaktivoval ...
Joomla! Nabízí možnost instalace různých komponent přímo ze svého rozhraní a jedna z nich je tzv. JoomlaXplorer, což není nic jiného než kompletní procházení disku s možností editování souborů, jejich práv atd. Lhal bych jak je to s právy, ale pokud to má právo roota, tak už celkem chápu, jak se to stalo ... nějak vyčetl asi z konfiguráku to heslo správce webu, pak se přihlásil jako správce na web, doinstaloval tu komponentu, zřejmě zeditoval některé potřebné soubory ... ale to je jen moje teorie ... dost možná se do toho dostal nějak přes webmina prolomením 12ti místného hesla, odchytáváním nějakých paketů (ale měl jsem ho na HTTPS) či co já vím :-\
-
Jestli ma ten stroj verejnou IP , je napadeni mozne. Napadeny stroj se ovsem chova velmi nenapadne. Zkuste prikaz.
# lsattr /*
Melo by to vypadat nejak takto.
------------------ /sbin/modprobe
... atd
Jestli je to hackle, budou u nekterych systemovych souboru nahozene atributy RO.
Dale proskenovat programem rkhunter, pripadne chkrootkit, oba jsou v repozitarich.
Pokud je system zkompromitovany, je nutna reinstalace, opravit to nejde.
Pred dalsi instalaci si pripravit nejaky funkcni firewall.
Edit: proskenovat vysoka cisla portu nad 1024, jestli neni otevreny nejaky neobvykly, napr. nmapem, nebo aspon knockerem.
Hned jakmile dorazím domů, tak to vyzkouším - díky moc za tipy a rady !! ;)
-
nesmis si davat stejne jmeno a heslo vsude jen.. pokud budes mit vsude jine heslo atd tak nebude problem imho ;-)
Vážně super rada ... na to bych sám nikdy nepřišel - díky ... ;) BTW: jako "ajťák", správce sítí, serverů a posledních pár let
jako IT manažer se živím už více než 13 let, takže to že jsem začátečník v linuxu ještě nutně nemusí znamenat, že jsem idiot, ne ? :D
Já tady ty pravidla, kdo bude mít jaké heslo a jak často jej bude měnit a jak bude silné určuju, takže v tom bych vážně problém neviděl ... ::)
Problém je, že když nasadíš nějaký děravý systém nebo web na totálně zabezpečený systém, otevřeš zase dveře dokořán - viz. jak jsem
psal nahoře o nějaké té kritické bezpečnostní chybě v tom redakčním systému...každopádně moje blbost byla, že jsem měl pro tu správu toho webu dočasně nastavené stejné heslo, když jsem to ladil, abych nemusel pořád dokola zadávat milion hesel atd. Nojo, co už, za blbost se platí ...
<< LOL ty jeden "ajtaku" .. ps. 13 let? a na cem jsi delal a zacinal? na w95kach :D
-
podle mě stroj nebyl hacknut.. spíš to bude těmi pokusy a různými instalacemi. navíc hackeři(nebo spíš crackeři) mívají jiné cíle, než server učinit nepoužitelným :)
No práávě - viz. můj popis toho, jak se tam najednou objevilo to nastavení FTPka s uvítací zprávou hlásající něco o experimentálním online úložišti dat a podobně ... Po těch instalacích a nastavování to normálně jelo ... já na tom žádné šílenosti neprováděl ... jen nějaké poslední drobnosti ohledně nastavení Postfixu.
-
a co to vypisuje, když systém normálně spustíte? zkoušel jste příkaz startx?? a proč sem třeba nehodíte ke stažení ten auth.log?
takhle bez informací můžem věštit z koule ::)
-
<< LOL ty jeden "ajtaku" .. ps. 13 let? a na cem jsi delal a zacinal? na w95kach :D
No tak s 95kama jsme asi krapet někde jinde ... psal jsem, že se tím živím už více jak 13 let ...
Ne, že dělám s počítačema 13 let ... to je sakra rozdíl ... pokud dobře sedíš a nebo se pevně
držíš, tak já to na sebe teda prásknu ... ;D
Začínal jsem na PMD85 ... řekne Ti to něco ? Pak Atari 800 XE ... pak brutální přestup
na super vymakaný a rychlý stroj 286 s DOSem ... Na 386ce už se mi občas dařilo i spustit Windows 3.1, když
jsem měl kousíček volné paměti (btw: kdyby měl někdo zájem, mám ještě originální instalačky na disketách i s asi 4KG manuálem)
;D
-
a co to vypisuje, když systém normálně spustíte? zkoušel jste příkaz startx?? a proč sem třeba nehodíte ke stažení ten auth.log?
takhle bez informacím můžem věštit z koule ::)
Ave.. navic cela historka nasledne popisovane obstrukce mi spis pripadaji, ze autor nechal zavrenou ve svem detskem pokoji kocku kdyz sel do skoly a ta se zatim seznamovala s klavesnici u zapnuteho pocitace ::
(ps. tohle se mi stalo!!)
:: podpor necim sva tvrzeni. ja se taky nechvastam, ze me uneslo UFO a delali se mnou pokusy na sve lodi ..
-
a co to vypisuje, když systém normálně spustíte? zkoušel jste příkaz startx?? a proč sem třeba nehodíte ke stažení ten auth.log?
takhle bez informacím můžem věštit z koule ::)
auth.log jsem se neházel jednak proto, že jsem s tím nechtěl prudit, ale hlavně taky proto, že se tak na 99% přihlásil pod mým uživatelským účtem, tak nevím, co by tam z toho logu bylo vidět :-\
Je možný aby se na Ubuntu sám od sebe aktivoval uživatel root a odebral práva admina původnímu správci systému ?
To snad proboha ne ? Spíš mě napadá, jestli by nepomohlo, kdybych třeba někam postnul ten kernel nebo nějaký konkrétní konfigurák nebo něco z toho bootu apod.
startx se mi podařilo zprovoznit kolem půl 3. ráno znovu pod mým původním uživatelem ... ovšem při bootu Xka nenabíhají a hlásí, něco ohledně chybějícího uživatele GDM nebo tak něco.
Nejsem teď u té mašiny - jsem v práci a stroj mám doma, tak sem můžu něco hodit jak dorazím domů...
-
... autor nechal zavrenou ve svem detskem pokoji kocku kdyz sel do skoly a ta se zatim seznamovala s klavesnici ... tohle se mi stalo ...
Tak pokavaď byla dvounohá... :D
-
... autor nechal zavrenou ve svem detskem pokoji kocku kdyz sel do skoly a ta se zatim seznamovala s klavesnici ... tohle se mi stalo ...
:D :D :D
Ty nadelaji obvykle vice skod i na jinych mistech!
Tak pokavaď byla dvounohá... :D
:D :D :D
Ty nadelaji obvykle vice skod i na jinych mistech!
-
v nouzovém režimu zkuste příkazem adduser přidat nového uživatele. pak zkuste ten příkaz startx.
edit: máte v nouz. režimu přístup k rootovi ??
-
a co to vypisuje, když systém normálně spustíte? zkoušel jste příkaz startx?? a proč sem třeba nehodíte ke stažení ten auth.log?
takhle bez informacím můžem věštit z koule ::)
Ave.. navic cela historka nasledne popisovane obstrukce mi spis pripadaji, ze autor nechal zavrenou ve svem detskem pokoji kocku kdyz sel do skoly a ta se zatim seznamovala s klavesnici u zapnuteho pocitace ::
(ps. tohle se mi stalo!!)
:: podpor necim sva tvrzeni. ja se taky nechvastam, ze me uneslo UFO a delali se mnou pokusy na sve lodi ..
Kéž bych mohl jít někdy do školy ... no ne, ale vážně ... to jsem nějak nepochopil ... proč bych to asi tak jako jinak tvrdil, kdyby to nebyla pravda ? To nějak nepobírám - sorry. Jako že bych byl borec největší, že mě někdo prolomil ochranu na serveru nebo tak něco jo ? Za to se spíš neskutečně stydím, než že bych s tím nějak chtěl machrovat ...
Napiš co sem mám dát a z čeho to půjde poznat a já to sem dám - teď už mi stejně o nic nejde ...
-
dejte sem ten /var/log/auth.log, pak dál sem zkuste dát co vypíše příkaz "cut -f1 -d: /etc/passwd |sort". A co ten root?? máte k němu přístup?
-
potvrzeni od notare, ze pristupy dle casu ve Tvem auth.log jsi nemohl spachat ty :D
4 diwoczaak, Merlin >>
vy se smejete chlapci, ale ja kdyz kocce koupim granule co ji nechutnaj, tak se jich naschval nacpe co to jde a potom mi ostentativne pobleje boty (to neni vtip a mohu to dolozit.. ;))
-
Netz: pokud jsou to jen boty (z vnejsku), tak je to dobre. Znal jsem kocoura, co zakerne zvracel jen a pouze DO bot a to tak, ze to clovek nezjistil, dokud botu nenazul ...
-
Netz: pokud jsou to jen boty (z vnejsku), tak je to dobre. Znal jsem kocoura, co zakerne zvracel jen a pouze DO bot a to tak, ze to clovek nezjistil, dokud botu nenazul ...
no, ja tomu verim. moje seredna kocka dovnitr nezvraci, ale ma v tom system, pac bleje na ne zepredu a je videt, ze vi co dela..
-
On tam vzdycky narval hlavu co to slo, pak clovek jen videl vztyceny klepajici se ocas, najezeny hrbet a slysel pridusene neprilis pekne zvuky :) Ale to uz je hodne OT :D
-
dejte sem ten /var/log/auth.log, pak dál sem zkuste dát co vypíše příkaz "cut -f1 -d: /etc/passwd |sort". A co ten root?? máte k němu přístup?
Ano, v nouzovém režimu jsem měl přístup k rootu. První co jsem udělal, tak mu pro jistotu změnil heslo.Pak jsem tady
na wiki našel postup jak si přidat práva roota k mému uživateli, tak jsem si je přidal a toho roota zablokoval...
OK, ten log sem večer dám spolu s tím výpisem.
-
On tam vzdycky narval hlavu co to slo, pak clovek jen videl vztyceny klepajici se ocas, najezeny hrbet a slysel pridusene neprilis pekne zvuky :) Ale to uz je hodne OT :D
To je podle mě tím, že kočka si nemůže, jako člověk, strčit prst do krku, aby tomu pomohla ven ... no a tak strčila hlavu do boty, zhluba se nadechla nosem a je to venku ... ;D
-
On tam vzdycky narval hlavu co to slo, pak clovek jen videl vztyceny klepajici se ocas, najezeny hrbet a slysel pridusene neprilis pekne zvuky :) Ale to uz je hodne OT :D
To je podle mě tím, že kočka si nemůže, jako člověk, strčit prst do krku, aby tomu pomohla ven ... no a tak strčila hlavu do boty, zhluba se nadechla nosem a je to venku ... ;D
Ted bych se asi mel urazit ... :D
-
Nečetl jsem to celé, ale proč si myslíte, že pomůže projít ty logy? Já dělám na Lineage serveru a kdybych udělal něco jako třeba supportování vlastní postavy, tak logy by bylo to první, co bych pozměnil tak, aby ke mně nikdo nenašel cestu.
-
Nečetl jsem to celé, ale proč si myslíte, že pomůže projít ty logy? Já dělám na Lineage serveru a kdybych udělal něco jako třeba supportování vlastní postavy, tak logy by bylo to první, co bych pozměnil tak, aby ke mně nikdo nenašel cestu.
Take jsem psal, ze pokud tam nekdo byl a neuklidil po sobe ... :) Je to spise zvedavost, ten stroj jde stejne na reinstall a pokud nekdo (predpokladame-li, ze to byl nekdo) naprosto s gracii dovolil vytvorit v home adresar FTP ... je otazkou, zda tedy po sobe uklizel.
Mimochodem, docela by mne zajimala ta mailova adresa, co kejml psal, ze byla v souboru welcome.msg ... treba se ukaze, ze to je autor toho experimentalniho FTP serveru :)
-
Nečetl jsem to celé, ale proč si myslíte, že pomůže projít ty logy? Já dělám na Lineage serveru a kdybych udělal něco jako třeba supportování vlastní postavy, tak logy by bylo to první, co bych pozměnil tak, aby ke mně nikdo nenašel cestu.
heh.. hehehe :D to jo, ale to by vám nepomohlo... zaznamenávají se i odchody uživatele(tzn. když se odhlásí), takže v logu přístup být musí. :)
-
Nečetl jsem to celé, ale proč si myslíte, že pomůže projít ty logy? Já dělám na Lineage serveru a kdybych udělal něco jako třeba supportování vlastní postavy, tak logy by bylo to první, co bych pozměnil tak, aby ke mně nikdo nenašel cestu.
heh.. hehehe :D to jo, ale to by vám nepomohlo... zaznamenávají se i odchody uživatele(tzn. když se odhlásí), takže v logu přístup být musí. :)
Tak tedy nevim jak Vam, ale mne sshd odchod (odhlaseni, spadnuti session, timeout, ...) neloguje ...
[edit]
tak kecam, odhlaseni loguje
[/edit]
-
v auth.log ne, ale v user.log ano. :)
edit: já taky kecám.. loguje se to tak i tak.
-
že mě někdo prolomil ochranu na serveru nebo tak něco jo ? Za to se spíš neskutečně stydím, než že bych s tím nějak chtěl machrovat
Neni za co se stydet, Kdyz nekdo najde diru v systemu a prokousne se do nej nejakym exploitem, zadne zabezpeceni nepomuze, proste je tam. A ne nejak ledajak, je pekne zakotveny a schovany. Taky mi jednou zkompromitovali gateway a misto studu jsem mel bobky u *censored*, jak zpiva Jarek, aby se to podarilo rychle reinstalovat a nenadelalo to nejakou paseku. Okamzite odstaveni nepripadalo v uvahu, bezelo to nekolik dni nakople. Vzdycky, kdyz jsem upravene soubory odstranil a nahradil "cistymi", za par dni to bylo znovu. Nejaky proces na masine oteviral urcity port, ale nedalo se urcit jaky proces to je. Akorat jsem dokazal nejak zahadne vystopovat, z jakych IP se mi na masinu hlasi a to jeste nevim, jestli to byli oni. Ke konci obdobi uz jsem ty zkompromitovane soubory znal a mazal nazpamet. Takze nejaky stud ani panika neprichazi v uvahu. Chladna hlava a dobre si rozmyslet jak postupovat. Ty rootkity a ostatni lahudky totiz neprogramovali zadni blbci, ale docela obstojne spicky oboru a s nimi muze zapolit jen vyvoleny.
Edit: Menit heslo roota nebo uzivatelu u zkompromitovaneho systemu je zcela pro kocku (leda pro tu, co NTZ chodila po boardu). Jestlize utocnik ma cestu do systemu, DOSTAVA prava roota, on se jako root nehlasi, on proste root je. A tedy muze vsechno.
-
To : Petr 'Merlin' Vaněček :
1.) Omlouvám se - samozřejmě jsem jen tak šprýmoval, abych přišel na jiné myšlenky :)
2.) Já jsem ten adresář smazal - idiot ještě včera večer ... :-( Jak jsem byl naštavaný, tak jsem některé věci smáznul
To : Kenji : Jojo, právěže přesně to stejné mě napadlo ...
To : Pavelp : Díky moc za psychickou podporu, pane. Jojo, dokážu si to představit, co je to za peklo zažít to na nějakém stroji
v ostrém provozu...Mě na téhle mašince běží jen jeden můj web a jeden kámošův + asi 2 mailboxy a už i tak jsem z toho na mrtvici.
U mě je to ale taky tím, že se zatím učím a jelikož se v tom až tak neorientuju, tak nevím co si v takové situaci počíst.
Všechno co jsem kdy nastavoval a ladil jsem dělal tak,že jsem měl otevřenou nějakou manpage a nebo nějaký postup nebo dokumentaci z netu a postupně krok za krokem to dělal podle něčeho takového atd. Už sice v něčem mám trošku jasněji, ale sám od sebe toho zatím z hlavy moc neudělám - už jsem ale aspoň ve stádiu, že aspoň vím, kde to hledat, když už to teda neumím.
To : ALL : teď jsem se dostal konečně k tomu, abych to všechno prošel do podrobna a myslím, že jsem našel pár vcelku zajímavých věcí ... např. v logu jde vidět jak se nějakým záhadným způsobem řádek po řádku smazali všichni uživatelé, někde ve /var/usr/lib nebo obdobně jsem našel hromadu souborů k nějakým bittorrent klientům atd. Dokonce jsem našel tuším ve var složku backups, která byla z 19.2. (na milion procent to není má práce) a v ní jsou nějaké installačky bittorrentů plus nějaké skripty, záložní soubory group.bak, passwd.bak , shadow.bak, infodir.bak a podobné věci ...
Možná to bude znít divně, ale mě přišlo, jako by mi to dělal zrovna pod rukama ... nevyznám se v linuxu zatím natolik, abych při běžné práci zjistil, že je na tom připojený současně ještě někdo jiný a třeba jej sestřelil, ale normálně jsem používal sudo a najednou mi to po chvilce nešlo...dívám se do menu - půlka ikon pryč ... otevřu v gnome ten user manager a není tam žádný uživatel, otevřu jej po druhé a je tam root.
Najednou se to začalo chovat nějak divně a tak jsem se po chvilce zjišťování co se děje zkusil přihlásit do jiné konzole a začalo mi to psát špatné heslo ... webmin mi taky přestal fungovat...prvně mi to psalo špatné heslo a potom mě to locknulo...Tak jsem neváhal a jen tak cvičně to rebootnul a už jsem viděl že je zle ...půlka služeb se nespustila vůbec, chtělo to po mě heslo roota a podobné věci ...
Přikládám ten auth.log a pár screenshotů ...
[attachment deleted by admin]
-
Obrázek ...
[attachment deleted by admin]
-
Ještě jeden :
[attachment deleted by admin]
-
Ty screenshoty by nas urcite take zajimaly :) Jinak ten log je pekny :) Vypada to na nejaky script, a myslim, ze to delal ten webmin. Nasel jste v tom logu nejaka jina IPcka nez sva?
Feb 17 22:41:00 server sshd[32418]: Invalid user Kamil from 192.168.1.77
Feb 17 22:41:00 server sshd[32418]: Failed none for invalid user Kamil from 192.168.1.77 port 50053 ssh2
Feb 17 22:42:33 server sshd[32424]: Accepted password for kejml from 192.168.1.77 port 50055 ssh2
Feb 17 22:42:33 server sshd[32428]: pam_unix(ssh:session): session opened for user kejml by (uid=0)
Feb 17 23:07:33 server sudo: kejml : TTY=pts/1 ; PWD=/etc ; USER=root ; COMMAND=/usr/bin/nano passwd
Toto je predpokladam vase prace? :)
-
Jojo, to je moje práce ... ale spíš tohle je víc než zajímavé :
Feb 19 21:17:04 server userdel[8524]: delete user `news'
Feb 19 21:17:04 server userdel[8524]: removed group `news' owned by `news'
Feb 19 21:17:04 server userdel[8529]: delete user `uucp'
Feb 19 21:17:04 server userdel[8529]: removed group `uucp' owned by `uucp'
Feb 19 21:17:05 server userdel[8534]: delete user `proxy'
Feb 19 21:17:05 server userdel[8534]: removed group `proxy' owned by `proxy'
Feb 19 21:17:05 server userdel[8539]: delete user `www-data'
Feb 19 21:17:05 server userdel[8539]: removed group `www-data' owned by `www-data'
Feb 19 21:17:05 server userdel[8544]: delete user `backup'
Feb 19 21:17:05 server userdel[8544]: removed group `backup' owned by `backup'
Feb 19 21:17:05 server userdel[8549]: delete user `list'
Feb 19 21:17:05 server userdel[8549]: removed group `list' owned by `list'
Feb 19 21:17:05 server userdel[8554]: delete user `irc'
Feb 19 21:17:05 server userdel[8554]: removed group `irc' owned by `irc'
Feb 19 21:17:05 server userdel[8559]: delete user `gnats'
Feb 19 21:17:05 server userdel[8559]: removed group `gnats' owned by `gnats'
Feb 19 21:17:05 server userdel[8564]: delete user `nobody'
Feb 19 21:17:05 server userdel[8569]: delete user `dhcp'
Feb 19 21:17:05 server userdel[8569]: removed group `dhcp' owned by `dhcp'
Feb 19 21:17:05 server userdel[8574]: delete user `daemon'
Feb 19 21:17:05 server userdel[8574]: removed group `daemon' owned by `daemon'
Feb 19 21:17:05 server userdel[8579]: delete user `syslog'
Feb 19 21:17:05 server userdel[8579]: removed group `syslog' owned by `syslog'
Feb 19 21:17:06 server userdel[8584]: delete user `klog'
Feb 19 21:17:06 server userdel[8584]: removed group `klog' owned by `klog'
Feb 19 21:17:06 server userdel[8589]: delete user `messagebus'
Feb 19 21:17:06 server userdel[8589]: removed group `messagebus' owned by `messagebus'
Feb 19 21:17:06 server userdel[8594]: delete user `hplip'
Feb 19 21:17:06 server userdel[8594]: delete `hplip' from group `scanner'
Feb 19 21:17:06 server userdel[8594]: delete `hplip' from shadow group `scanner'
Feb 19 21:17:06 server userdel[8599]: delete user `avahi-autoipd'
Feb 19 21:17:06 server userdel[8599]: removed group `avahi-autoipd' owned by `avahi-autoipd'
Feb 19 21:17:06 server userdel[8604]: delete user `avahi'
Feb 19 21:17:06 server userdel[8604]: removed group `avahi' owned by `avahi'
Feb 19 21:17:06 server userdel[8609]: delete user `haldaemon'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from group `cdrom'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from group `floppy'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from group `plugdev'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from group `powerdev'
Feb 19 21:17:06 server userdel[8609]: removed group `haldaemon' owned by `haldaemon'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from shadow group `cdrom'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from shadow group `floppy'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from shadow group `plugdev'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from shadow group `powerdev'
Feb 19 21:17:06 server userdel[8614]: delete user `gdm'
Feb 19 21:17:06 server userdel[8614]: removed group `gdm' owned by `gdm'
Feb 19 21:17:06 server userdel[8624]: delete user `mysql'
Feb 19 21:17:06 server userdel[8624]: removed group `mysql' owned by `mysql'
Feb 19 21:17:06 server userdel[8629]: delete user `bin'
Feb 19 21:17:06 server userdel[8629]: removed group `bin' owned by `bin'
Feb 19 21:17:07 server userdel[8634]: delete user `proftpd'
Feb 19 21:17:07 server userdel[8639]: delete user `ftp'
Feb 19 21:17:07 server userdel[8644]: delete user `userftp'
Feb 19 21:17:07 server userdel[8649]: delete user `hydroizolace'
Feb 19 21:17:07 server userdel[8654]: delete user `sshd'
Feb 19 21:17:07 server userdel[8659]: delete user `sarka.pankova'
Feb 19 21:17:07 server userdel[8664]: delete user `dovecot'
Feb 19 21:17:07 server userdel[8664]: delete `dovecot' from group `mail'
Feb 19 21:17:07 server userdel[8664]: removed group `dovecot' owned by `dovecot'
Feb 19 21:17:07 server userdel[8664]: delete `dovecot' from shadow group `mail'
Feb 19 21:17:07 server userdel[8669]: delete user `info'
Feb 19 21:17:07 server userdel[8674]: delete user `postfix'
Feb 19 21:17:07 server userdel[8674]: removed group `postfix' owned by `postfix'
Feb 19 21:17:07 server userdel[8679]: delete user `sys'
Feb 19 21:17:07 server userdel[8679]: removed group `sys' owned by `sys'
Feb 19 21:17:07 server userdel[8684]: delete user `sync'
Feb 19 21:17:08 server userdel[8689]: delete user `games'
Feb 19 21:17:08 server userdel[8689]: removed group `games' owned by `games'
Feb 19 21:17:08 server userdel[8694]: delete user `man'
Feb 19 21:17:08 server userdel[8694]: removed group `man' owned by `man'
Feb 19 21:17:08 server userdel[8699]: delete user `lp'
Feb 19 21:17:08 server userdel[8699]: removed group `lp' owned by `lp'
Feb 19 21:17:08 server userdel[8704]: delete user `mail'
Feb 19 21:17:08 server userdel[8704]: removed group `mail' owned by `mail'
Feb 19 21:17:08 server groupmod[8706]: change group `floppy' to `news'
Feb 19 21:17:08 server groupmod[8706]: change GID for `news' to 9
Feb 19 21:17:08 server gpasswd[8708]: remove member kejml from group news by root
Feb 19 21:17:08 server groupmod[8710]: change group `tape' to `uucp'
Feb 19 21:17:08 server groupmod[8710]: change GID for `uucp' to 10
Feb 19 21:17:08 server groupmod[8712]: change group `sudo' to `man'
Feb 19 21:17:08 server groupmod[8712]: change GID for `man' to 12
Feb 19 21:17:08 server groupmod[8714]: change group `audio' to `proxy'
Feb 19 21:17:08 server groupmod[8714]: change GID for `proxy' to 13
Feb 19 21:17:08 server gpasswd[8716]: remove member kejml from group proxy by root
Feb 19 21:17:08 server groupmod[8730]: change group `video' to `floppy'
Feb 19 21:17:08 server groupmod[8730]: change GID for `floppy' to 25
Feb 19 21:17:08 server gpasswd[8732]: remove member kejml from group floppy by root
Feb 19 21:17:08 server groupmod[8734]: change group `adm' to `daemon'
Feb 19 21:17:08 server groupmod[8734]: change GID for `daemon' to 1
Feb 19 21:17:08 server gpasswd[8736]: remove member kejml from group daemon by root
Feb 19 21:17:08 server groupmod[8738]: change group `sasl' to `tape'
Feb 19 21:17:08 server groupmod[8738]: change GID for `tape' to 26
Feb 19 21:17:08 server groupmod[8740]: change group `plugdev' to `sudo'
Feb 19 21:17:08 server groupmod[8740]: change GID for `sudo' to 27
Feb 19 21:17:08 server gpasswd[8742]: remove member kejml from group sudo by root
Feb 19 21:17:08 server groupmod[8744]: change group `staff' to `audio'
Feb 19 21:17:08 server groupmod[8744]: change GID for `audio' to 29
Feb 19 21:17:08 server groupmod[8748]: change group `nogroup' to `www-data'
Feb 19 21:17:08 server groupmod[8748]: change GID for `www-data' to 33
Feb 19 21:17:08 server groupmod[8750]: change group `scanner' to `backup'
Feb 19 21:17:08 server groupmod[8750]: change GID for `backup' to 34
Feb 19 21:17:08 server gpasswd[8752]: remove member kejml from group backup by root
Feb 19 21:17:08 server groupmod[8756]: change group `fuse' to `list'
Feb 19 21:17:08 server groupmod[8756]: change GID for `list' to 38
Feb 19 21:17:08 server groupmod[8758]: change group `ssl-cert' to `irc'
Feb 19 21:17:08 server groupmod[8758]: change GID for `irc' to 39
Feb 19 21:17:08 server groupmod[8764]: change group `tty' to `bin'
Feb 19 21:17:08 server groupmod[8764]: change GID for `bin' to 2
Feb 19 21:17:08 server groupmod[8766]: change group `admin' to `gnats'
Feb 19 21:17:08 server groupmod[8766]: change GID for `gnats' to 41
Feb 19 21:17:08 server gpasswd[8768]: remove member kejml from group gnats by root
Feb 19 21:17:08 server groupmod[8774]: change group `netdev' to `video'
Feb 19 21:17:08 server groupmod[8774]: change GID for `video' to 44
Feb 19 21:17:08 server gpasswd[8776]: remove member kejml from group video by root
Feb 19 21:17:08 server groupmod[8778]: change group `powerdev' to `sasl'
Feb 19 21:17:08 server groupmod[8778]: change GID for `sasl' to 45
Feb 19 21:17:08 server gpasswd[8780]: remove member kejml from group sasl by root
Feb 19 21:17:08 server groupmod[8782]: change group `slocate' to `plugdev'
Feb 19 21:17:08 server groupmod[8782]: change GID for `plugdev' to 46
Feb 19 21:17:08 server groupmod[8784]: change group `kejml' to `staff'
Feb 19 21:17:08 server groupmod[8784]: change GID for `staff' to 50
Feb 19 21:17:08 server groupmod[8786]: change group `userftp' to `games'
Feb 19 21:17:08 server groupmod[8786]: change GID for `games' to 60
Feb 19 21:17:09 server groupadd[8791]: new group: name=nogroup, GID=65534
Feb 19 21:17:09 server groupmod[8793]: change group `disk' to `sys'
Feb 19 21:17:09 server groupmod[8793]: change GID for `sys' to 3
Feb 19 21:17:09 server groupadd[8796]: new group: name=dhcp, GID=101
Feb 19 21:17:09 server groupadd[8799]: new group: name=syslog, GID=102
Feb 19 21:17:09 server groupadd[8802]: new group: name=klog, GID=103
Feb 19 21:17:09 server groupadd[8805]: new group: name=scanner, GID=104
Feb 19 21:17:09 server groupadd[8810]: new group: name=fuse, GID=106
Feb 19 21:17:09 server groupadd[8813]: new group: name=ssl-cert, GID=107
Feb 19 21:17:09 server groupadd[8818]: new group: name=messagebus, GID=109
Feb 19 21:17:09 server groupadd[8821]: new group: name=admin, GID=110
Feb 19 21:17:09 server groupmod[8823]: change group `kmem' to `adm'
Feb 19 21:17:09 server groupmod[8823]: change GID for `adm' to 4
Feb 19 21:17:09 server groupadd[8830]: new group: name=avahi-autoipd, GID=113
Feb 19 21:17:09 server groupadd[8833]: new group: name=avahi, GID=114
Feb 19 21:17:09 server groupadd[8836]: new group: name=netdev, GID=115
Feb 19 21:17:09 server groupadd[8839]: new group: name=haldaemon, GID=116
Feb 19 21:17:10 server groupadd[8842]: new group: name=powerdev, GID=117
Feb 19 21:17:10 server groupadd[8845]: new group: name=gdm, GID=118
Feb 19 21:17:10 server groupadd[8848]: new group: name=slocate, GID=119
Feb 19 21:17:10 server groupadd[8851]: new group: name=kejml, GID=1000
Feb 19 21:17:10 server groupmod[8853]: change group `dialout' to `tty'
Feb 19 21:17:10 server groupmod[8853]: change GID for `tty' to 5
Feb 19 21:17:10 server gpasswd[8855]: remove member kejml from group tty by root
Feb 19 21:17:10 server groupadd[8858]: new group: name=mysql, GID=120
Feb 19 21:17:10 server groupadd[8861]: new group: name=userftp, GID=1001
Feb 19 21:17:10 server groupadd[8864]: new group: name=postfix, GID=121
Feb 19 21:17:10 server groupadd[8867]: new group: name=dovecot, GID=123
Feb 19 21:17:10 server groupmod[8871]: change group `fax' to `disk'
Feb 19 21:17:10 server groupmod[8871]: change GID for `disk' to 6
Feb 19 21:17:10 server groupmod[8873]: change group `voice' to `lp'
Feb 19 21:17:10 server groupmod[8873]: change GID for `lp' to 7
Feb 19 21:17:10 server groupmod[8875]: change group `cdrom' to `mail'
Feb 19 21:17:10 server groupmod[8875]: change GID for `mail' to 8
Feb 19 21:17:10 server gpasswd[8877]: remove member kejml from group mail by root
-
No to se vsechno delo prakticky v 1 sekunde tj. byl to nejak script ... a mam dojem, ze spis nez hacker/cracker to byl webmin :)
A neprejte si vedet, co mam ja ve /var/backups a jak mi nautilus identifikuje kernel v /boot :)
-
v auth.log ne, ale v user.log ano. :)
edit: já taky kecám.. loguje se to tak i tak.
Na skutecne zkompromitovaanem systemu se NELOGUJE to, co by mohlo ukazat na utocnika, je pozmeneny klogd, syslogd a vse okolo.
-
hmm.. možná že ne, ale vždy se dá nějak útočník vystopovat.. třeba u providera. holt dnešní crackeři se nemaj kam schovat ;)
-
Dneska jsem tak trošku pátral a našel třeba tenhle článek : http://blog.miccas.net/2007/joomlaorg-hacked/
Je to sice už z loňského roku ale evidentně nejsem sám, koho něco takového potkalo ...
Těch stránek, kde se řeší podobný průšvih se zabezpečením Joomla! je poměrně dost ...
No a když to někdo cracknul i přímo vývojářskému teamu Joomly, tak je mi jasné, že sám to už asi
líp zabezpečit nedokážu ... no co naplat ... buď se budu muset poohlídnout po jiném redakčním systému
a nebo to vymyslet tak, aby mi díky tomu cracknuli maximálně stránky a ne celou mašinu ...
-
A vam se objevila misto joomly! informace, ze jste byl hacknut? Popravde receno, info, ktere jste o situaci podal sice na prvni pohled vypadalo na prulom, nicmene po dodani logu a prekontrolovani par dalsich veci se mi spise zda, ze jste se bud v webminu uklikl, nebo jste narazil na nejaky veliky bug webminu
-
A vam se objevila misto joomly! informace, ze jste byl hacknut? Popravde receno, info, ktere jste o situaci podal sice na prvni pohled vypadalo na prulom, nicmene po dodani logu a prekontrolovani par dalsich veci se mi spise zda, ze jste se bud v webminu uklikl, nebo jste narazil na nejaky veliky bug webminu
A nebo se mi do toho někdo naboural přes ten webmin, jak už jsem popisoval úplně na začátku, kde jsem se zmiňoval, že za to může mmj. také moje blbost. Díky bezpečnostní díře v Joomle se někdo dostal k mému heslu na správu webu, které jsem měl v té době ještě bohužel stejné jako do webminu...základní školácká chyba, kterou již zcela jistě nikdy neudělám...takže napaden jsem zcela určitě byl, ale nedá se mluvit o cracknutí díky nějaké díře v systému, ale spíše o vlastní blbosti ... věřte mi, že už se něco podobného ale nestane, ikdyž půjde pouze o testovací server...
On totiž člověk něco vyvíjí pořád v nějakém testovacím prostředí, až si uvědomí, že už vlastně pracuje s ostrou verzí, na které už nakonfiguroval a spustil milion věcí a že už se zdaleka nejedná jen o testovací stroj ... to už je pak ale pozdě... :)
-
Priznani je (byvalo) polehcujici okolnost.