The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"кажется ломанули...что за зверь tiz?"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"кажется ломанули...что за зверь tiz?"
Сообщение от LiquID emailИскать по авторуВ закладки on 11-Июн-03, 00:59  (MSK)
никогда раньше не сталкивался со взломами и не знаю что делать :)
обнаружил обратный интернет-канал полностью положенным отправкой пакетов на некий хост. айпишник назначения по разгильдяйству утерян :(
в списке процессов висит некая прога tiz.
также обнаружил некий каталог созданный рутом (но я его точно не создавал) датированный 9м числом и  названный zshzlee :). в нем этот tiz и лежал.
как ломанули - теряюсь в догадках.
начинаю думать на eggdrop который торчал постоянно наружу.

подскажите как интрудера споймать и определить через что ломанули :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "кажется ломанули...что за зверь tiz?"
Сообщение от Michael emailИскать по авторуВ закладки on 11-Июн-03, 08:52  (MSK)
>подскажите как интрудера споймать и определить через что ломанули :)

имхо, лучше не ловить, а востанавливать систему...
и желательно - с нуля и с более жесткими настройками...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "кажется ломанули...что за зверь tiz?"
Сообщение от iiws emailИскать по авторуВ закладки on 11-Июн-03, 09:15  (MSK)
>никогда раньше не сталкивался со взломами и не знаю что делать :)
>
>обнаружил обратный интернет-канал полностью положенным отправкой пакетов на некий хост. айпишник назначения
>по разгильдяйству утерян :(
>в списке процессов висит некая прога tiz.
>также обнаружил некий каталог созданный рутом (но я его точно не создавал)
>датированный 9м числом и  названный zshzlee :). в нем этот
>tiz и лежал.
>как ломанули - теряюсь в догадках.
>начинаю думать на eggdrop который торчал постоянно наружу.
>
>подскажите как интрудера споймать и определить через что ломанули :)

если основные порты снаружи закрыты в том числе telnet , ssh, то скорее всего через sendmail или апач если они старых версий


  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "кажется ломанули...что за зверь tiz?"
Сообщение от Bart_Simpson emailИскать по авторуВ закладки on 11-Июн-03, 09:19  (MSK)
А какие службы висели на сервере?
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "кажется ломанули...что за зверь tiz?"
Сообщение от ддд Искать по авторуВ закладки on 11-Июн-03, 10:56  (MSK)
если активность нездаровая все еще наблюдается, то для дальнейших разборов полетов можно поснифить сеть, записать все что по ней ходит в файло на соседней машане. так кажись в свое время Митника повязали....
http://www.chkrootkit.org/
проверяет на наличие известных руткитов.
а лучше всего бысто - быстро переставить все на какойнить свежачек типа слаки 9-й.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "кажется ломанули...что за зверь tiz?"
Сообщение от LiquID emailИскать по авторуВ закладки on 11-Июн-03, 13:20  (MSK)
>А какие службы висели на сервере?
стоит апач для внутренней сети, ирц сервер для внутренней сети.. эггдроп торчал наружу.. самба там еще..
машинка является роутером.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "кажется ломанули...что за зверь tiz?"
Сообщение от LiquID emailИскать по авторуВ закладки on 11-Июн-03, 13:37  (MSK)
короче по вашим советам понял, что лучше все заново на серваке переставить :)
.. хотя интереснее было бы выяснить как именно поломали машинку..
  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "кажется ломанули...что за зверь tiz?"
Сообщение от lavr emailИскать по авторуВ закладки on 11-Июн-03, 14:07  (MSK)
>короче по вашим советам понял, что лучше все заново на серваке переставить
>:)
>.. хотя интереснее было бы выяснить как именно поломали машинку..

во время нужно выяснять, если с головой хачили, логи уж давно почистили
лучше быстрее переставить с учетом всех updates/bugfix и известных
хаков тех или иных сервисов

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "кажется ломанули...что за зверь tiz?"
Сообщение от URL Искать по авторуВ закладки on 11-Июн-03, 14:09  (MSK)
  Заходи почаще на security.nnov.ru и security.opennet.ru -
у нас народ редко что-то своё пишет, в основном чужими эксплойтами.
Сам неприятно удивился, обнаружив на nnov эксплойт для samba на freebsd/openbsd,
samba-2.2.2-2.2.8a. Работает, между прочим.
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру