|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от opennews on 01-Дек-11, 15:58 | ||
В блоге Лаборатории Касперского появилась заметка (http://www.securelist.com/en/blog/625/The_Mystery_of_Duqu_Pa...) с разбором последствий взлома двух Linux-хостов, используемых злоумышленниками для управления Windows-машинами, пораженными троянским ПО Duqu (http://en.wikipedia.org/wiki/Duqu). Хосты были представлены для анализа после того, как злоумышленники пытаясь замести следы, удалили содержимое директорий "/var/log" и "/root" с серверов. Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
3. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +3 +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 16:07 | ||
> Возможно для атаки использовался какой-то эксплоит, рассчитанный на поражение CentOS. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
6. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +3 +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 16:31 | ||
Можно подумать что у hardhat'а какой-то особый ssh. | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
7. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 16:40 | ||
Да, есть маленько. А еще у них ядро особое. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
18. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 17:15 | ||
> Да, есть маленько. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
22. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 17:28 | ||
SELINUX | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
42. "Разбор последствий взлома Linux-хостов выявил странную актив..." | –3 +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 19:34 | ||
> SELINUX | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
80. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +3 +/– | |
Сообщение от anonymous (??) on 02-Дек-11, 01:46 | ||
Гадайта гадайте, вот еще вариант - может как в 99.9999999% всех остальных случаев пароль рута был "777" ? | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
105. "Разбор последствий взлома Linux-хостов выявил странную актив..." | –3 +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 14:28 | ||
> Вы что, блондинка? Или зачем тут капс? Кроме того, если уж хост | ||
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору |
124. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 16:47 | ||
> А еще был опровергнута теория о том, что *nix - это защищенные системы. | ||
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору |
142. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Кирилл (??) on 02-Дек-11, 19:47 | ||
| ||
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору |
107. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 14:31 | ||
> И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите. | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
114. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Кирилл (??) on 02-Дек-11, 14:50 | ||
>> И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите. | ||
Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору |
121. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 16:10 | ||
> Очень полезно пихать в песочницу рута. | ||
Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору |
125. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 16:48 | ||
> Очень полезно пихать в песочницу рута. | ||
Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору |
8. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +2 +/– | |
Сообщение от Анонище on 01-Дек-11, 16:43 | ||
Куда интереснее -каким макаром произошло проникновение. А что, что ПО меняли, так и ладно, не в музей же попали. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
12. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 16:51 | ||
> Куда интереснее -каким макаром произошло проникновение. А что, что ПО меняли, | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
15. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 16:59 | ||
>> Куда интереснее -каким макаром произошло проникновение. А что, что ПО меняли, | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
33. "Разбор последствий взлома Linux-хостов выявил странную актив..." | –2 +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 18:20 | ||
Никто бы даже не узнал о взломе, очевидно. | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
101. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 14:15 | ||
> Никто бы даже не узнал о взломе, очевидно. | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
113. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Кирилл (??) on 02-Дек-11, 14:48 | ||
Удалённая регистрация событий + вывод всех событий авторизации на старый добрый матричный принтер с рулоном бумаги. | ||
Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору |
119. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 15:59 | ||
> Удалённая регистрация событий + вывод всех событий авторизации на старый добрый матричный | ||
Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору |
139. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Кирилл (??) on 02-Дек-11, 19:41 | ||
| ||
Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору |
151. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 03-Дек-11, 16:26 | ||
> Почему прошлого? У меня так на всех шлюзах. Регистрация всех важных событий локально на шлюзах идут на быстрые рулонные матричники. На практике оказалось очень полезно. | ||
Ответить | Правка | ^ к родителю #139 | Наверх | Cообщить модератору |
165. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от аноним1 on 09-Дек-11, 22:40 | ||
сколько нарушителей и за сколько лет поймали, если не секрет? | ||
Ответить | Правка | ^ к родителю #139 | Наверх | Cообщить модератору |
126. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 16:49 | ||
> принтер с рулоном бумаги. | ||
Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору |
141. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Кирилл (??) on 02-Дек-11, 19:45 | ||
| ||
Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору |
102. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 14:18 | ||
> А что бы это изменило? | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
115. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Кирилл (??) on 02-Дек-11, 14:52 | ||
| ||
Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору |
118. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 15:58 | ||
> Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша. | ||
Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору |
120. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 16:04 | ||
>> Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша. | ||
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору |
122. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 16:12 | ||
> А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :) | ||
Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору |
123. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 16:14 | ||
>> А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :) | ||
Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору |
127. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 16:50 | ||
> дополняй, никуда не денется. В том числе, от анализатора логов. | ||
Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору |
136. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 19:10 | ||
>> дополняй, никуда не денется. В том числе, от анализатора логов. | ||
Ответить | Правка | ^ к родителю #127 | Наверх | Cообщить модератору |
143. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 19:55 | ||
> Отсутствие прав (если ещё не рут, а только пытаеццо). | ||
Ответить | Правка | ^ к родителю #136 | Наверх | Cообщить модератору |
145. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 19:59 | ||
>> Отсутствие прав (если ещё не рут, а только пытаеццо). | ||
Ответить | Правка | ^ к родителю #143 | Наверх | Cообщить модератору |
161. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 09-Дек-11, 12:40 | ||
> Вот пока он будет пытаться, его и засекут. | ||
Ответить | Правка | ^ к родителю #145 | Наверх | Cообщить модератору |
163. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok) on 09-Дек-11, 16:03 | ||
> Ага, только мутная активность в ssh может означать и какой-то race condition | ||
Ответить | Правка | ^ к родителю #161 | Наверх | Cообщить модератору |
133. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 18:31 | ||
> В плане? Запись из error_log, указывающая на попытку взлома, чем только ни дополняй, никуда не денется. В том числе, от анализатора логов. | ||
Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору |
137. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 19:11 | ||
>> В плане? Запись из error_log, указывающая на попытку взлома, чем только ни дополняй, никуда не денется. В том числе, от анализатора логов. | ||
Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору |
152. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 03-Дек-11, 16:29 | ||
> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, хоть | ||
Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору |
155. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok) on 03-Дек-11, 21:29 | ||
>> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, хоть | ||
Ответить | Правка | ^ к родителю #152 | Наверх | Cообщить модератору |
162. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 09-Дек-11, 12:42 | ||
> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, | ||
Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору |
164. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok) on 09-Дек-11, 16:05 | ||
>> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, | ||
Ответить | Правка | ^ к родителю #162 | Наверх | Cообщить модератору |
140. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Кирилл (??) on 02-Дек-11, 19:43 | ||
| ||
Ответить | Правка | ^ к родителю #118 | Наверх | Cообщить модератору |
153. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 03-Дек-11, 16:31 | ||
> Главное зарегистрировать хронологию событий | ||
Ответить | Правка | ^ к родителю #140 | Наверх | Cообщить модератору |
166. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от аноним1 on 09-Дек-11, 22:44 | ||
> Journal там пока что не внедрили, так что без шансов. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
24. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Вова on 01-Дек-11, 17:50 | ||
Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс (помимо фат)) можно восстанавливать файлы после удаления. Или всё-таки по старинке - grep xxx /dev/sd*? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
28. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от Hugo Reyes (ok) on 01-Дек-11, 18:02 | ||
https://www.opennet.ru/base/sys/recover_file10.txt.html | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
34. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +3 +/– | |
Сообщение от CrustY on 01-Дек-11, 18:27 | ||
testdisk погугли ) | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
45. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от igron (ok) on 01-Дек-11, 19:51 | ||
foremost | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
89. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Вова on 02-Дек-11, 07:55 | ||
спасибо всем. | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
106. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 14:29 | ||
> Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс (помимо | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
37. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 18:51 | ||
Да никто там особо не заботился о том чтобы не взломали , выполнили свою задачу и в мусор. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
38. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 19:15 | ||
Автору конечно спасибо за труды, но непонятно, к чему повествование. В 2009 какие-то злоумышленники взломали какие-то сервера под Centos, обновив на них попутно версию OpenSSH. Из этого можно сделать какие-то выводы? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
43. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +3 +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 19:35 | ||
> Автору конечно спасибо за труды, но непонятно, к чему повествование. В 2009 | ||
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору |
108. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 14:32 | ||
> Что с 2009 года в CentOS есть незакрытая дыра, дающая удалённо root ? | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
47. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 20:04 | ||
В последнем CentOS 5.x пакет openssh-4.3p2-72.el5_7.5.i386.rpm | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
48. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от AdVv (ok) on 01-Дек-11, 20:45 | ||
Не понятно из новости, что за хосты были взломаны и как они были связаны с Duqu. Кто-то перехватил управление ботнетом ? Или управление ботнетом изначально осуществлялось с этих левых хостов ? Как-то недальновидно, потерял хост, потерял управление всем ботнетом ? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
49. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +2 +/– | |
Сообщение от AdVv (ok) on 01-Дек-11, 20:48 | ||
При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера" Uplink ;) | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
128. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 16:51 | ||
> При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера" | ||
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору |
169. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от AdVv (ok) on 28-Дек-11, 11:29 | ||
>> При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера" | ||
Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору |
50. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 21:23 | ||
>пользователя root, которому был разрешён вход по SSH | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
54. "Разбор последствий взлома Linux-хостов выявил странную актив..." | –1 +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 22:34 | ||
>>пользователя root, которому был разрешён вход по SSH | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
81. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от anonymous (??) on 02-Дек-11, 01:48 | ||
>>пользователя root, которому был разрешён вход по SSH | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
84. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 01:59 | ||
>Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем не проверяемые кроме автора. | ||
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору |
85. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от qpq (ok) on 02-Дек-11, 02:35 | ||
на каком сервере? IP у вас тоже генератором паролей выбирается? :) | ||
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору |
148. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 03-Дек-11, 05:48 | ||
>на каком сервере? | ||
Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору |
160. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от qpq (ok) on 09-Дек-11, 12:20 | ||
это был сарказм как бы | ||
Ответить | Правка | ^ к родителю #148 | Наверх | Cообщить модератору |
86. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 05:48 | ||
>Вы хотите сказать что отключить вход по логину root - это дурь (делать наоборот) ? | ||
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору |
87. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от xdsl on 02-Дек-11, 06:53 | ||
>Объясните, мне, глупому, чем поможет запрет логина от рута? | ||
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору |
94. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от SubGun (ok) on 02-Дек-11, 10:19 | ||
А вы сидите и tail'ом логи смотрите 24х7 | ||
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору |
98. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 12:03 | ||
> За это время в системе остается куча следов. | ||
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору |
109. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 14:34 | ||
> Кроме того, ну вот получили вы рут. А оказалось что это пустой контейнер без нифига. | ||
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору |
129. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 16:52 | ||
> Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с | ||
Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору |
134. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 18:33 | ||
> А в случае лени и паранойи надо виртуалки юзать. Из них вы | ||
Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору |
147. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 03-Дек-11, 05:45 | ||
>Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с рутовыми правами. | ||
Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору |
132. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +3 +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 17:38 | ||
> 1)крякеру надо сначала угадать юзеровский логин для удаленного входа, который на каждой | ||
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору |
149. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 03-Дек-11, 12:55 | ||
Бред какой-то. | ||
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору |
104. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 14:25 | ||
> Да, дурь. Нормальный пароль не подберут в обозримом будущем. | ||
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору |
131. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 16:58 | ||
> likely answer is that the root password was bruteforced. | ||
Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору |
135. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 18:34 | ||
> Толи вместо админа полный ламерюга | ||
Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору |
103. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 14:23 | ||
> Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем | ||
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору |
88. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от kshetragia (ok) on 02-Дек-11, 07:03 | ||
Может быть и верх, но по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса. По крайней мере это справедливо для СentOS, Rhel, Debian. Чего не скажешь о фрюше. | ||
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору |
91. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Mikula on 02-Дек-11, 10:03 | ||
>по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса. | ||
Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору |
97. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от reaper (??) on 02-Дек-11, 11:48 | ||
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может | ||
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору |
130. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 16:54 | ||
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может | ||
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору |
138. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Кирилл (??) on 02-Дек-11, 19:37 | ||
Это не так. Как раз доступ руту надо явно разрешать. Что, видимо, и было сделано. | ||
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору |
157. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от kshetragia (ok) on 05-Дек-11, 09:46 | ||
>>по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса. | ||
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору |
52. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +3 +/– | |
Сообщение от Frank (ok) on 01-Дек-11, 22:05 | ||
"Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома." | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
53. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +2 +/– | |
Сообщение от Frank (ok) on 01-Дек-11, 22:08 | ||
И тут же после этого | ||
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору |
63. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от Евгений (??) on 01-Дек-11, 23:06 | ||
> И тут же после этого | ||
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору |
78. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от Ytch on 02-Дек-11, 01:15 | ||
> Да уж касперцы снова "открыли Америку", скорее "нехорошие" ребята пользовались rm, но есть еще и утилита shred, может они о ней не ведали | ||
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору |
55. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 22:36 | ||
Не сработал простой метод, попробовали другой и нашли данные, что не так ? | ||
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору |
56. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +2 +/– | |
Сообщение от chelovek on 01-Дек-11, 22:42 | ||
Вот что то я не понял. Какой смысл в этой новости? Больше на какие то сплетни походит во дворах, бабушек. "Вот воры залезли, через дверь... И как они её открыли. И не выломали,.... И почему они потом закрыли дверь, а не оставил открытой." Да захотели и обновили блин! ))) Может им воспитание не позволило работать на старом ПО. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
57. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 22:54 | ||
> "и перед первым удачным входом был восьмиминутный перерыв" | ||
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору |
58. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от chelovek on 01-Дек-11, 22:57 | ||
Ну а почему нет? Вот у меня бывает умные идеи или в толчке или на курилке приходят весьма неожиданно!.))))))) | ||
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору |
60. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +2 +/– | |
Сообщение от pavlinux (ok) on 01-Дек-11, 23:00 | ||
> Омг... Пописять/покурить/пофапать ходил хакер. | ||
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору |
64. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 23:10 | ||
> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00, | ||
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору |
65. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от pavlinux (ok) on 01-Дек-11, 23:12 | ||
>> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00, | ||
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору |
73. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +4 +/– | |
Сообщение от Ytch on 02-Дек-11, 00:25 | ||
Такая же фигня. Я вот думаю создать, что ли, пару из этих файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний вид оригинала (с намеком, например, на возможность root доступа к базам - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban как-то не так смешно. | ||
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору |
74. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от pavlinux (ok) on 02-Дек-11, 00:49 | ||
> Такая же фигня. Я вот думаю создать, что ли, пару из этих | ||
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору |
159. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от un4me (??) on 06-Дек-11, 11:46 | ||
> 180.0.0.0/2 можно смело банить :) | ||
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору |
92. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от ФФ (ok) on 02-Дек-11, 10:11 | ||
зачОтно :) | ||
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору |
110. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 14:37 | ||
> Такая же фигня. Я вот думаю создать, что ли, пару из этих | ||
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору |
76. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от stamnik (ok) on 02-Дек-11, 00:58 | ||
>>> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00, | ||
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору |
111. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 14:40 | ||
> Если хост не сильно критичный к нагрузкам то весьма забавно на некоторое | ||
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору |
82. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от Ytch on 02-Дек-11, 01:49 | ||
>"Против данной гипотезы указывает то, что пароль был подобран после относительно небольшого числа попыток и перед первым удачным входом был восьмиминутный перерыв" | ||
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору |
96. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 02-Дек-11, 10:33 | ||
> Не было никакого перерыва. Вход был осуществлен через 8 минут 42 секунды | ||
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору |
59. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 22:59 | ||
Злоумышленники обновили OpenSSH до 5 версии, это самое интересное. Это наверное, скрытый способ доказательства важности своевременного обновления. Что же касается CentOS то лично я, не считаю ее операционной системой вообще. Не понимаю, почему все за нее так держаться, особенно если учесть периодичность выхода обновлений. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
83. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от anonymous (??) on 02-Дек-11, 01:56 | ||
> Злоумышленники обновили OpenSSH до 5 версии, это самое интересное. Это наверное, скрытый | ||
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору |
67. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 23:14 | ||
Всё просто. Алгоритм взлома: | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
68. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от pavlinux (ok) on 01-Дек-11, 23:28 | ||
> Всё просто. Алгоритм взлома: | ||
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору |
71. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от Аноним (??) on 01-Дек-11, 23:37 | ||
>> Всё просто. Алгоритм взлома: | ||
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору |
72. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от pavlinux (ok) on 02-Дек-11, 00:21 | ||
Мне не кажется, читаю то, что пишут. | ||
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору |
90. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Xing on 02-Дек-11, 08:48 | ||
перебор за 8 минут??? | ||
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору |
168. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 26-Дек-11, 17:47 | ||
У меня обычно стоит fail2ban который при 3х неудачных попыток подбора добавляет правила дропа в фаервол на 30 минут, при таких условиях перебор пароля бы занял минимум час. Это не великея хакеро, на лицо обычная халатность | ||
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору |
77. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +1 +/– | |
Сообщение от adolfus (ok) on 02-Дек-11, 01:02 | ||
Дйля беспарольного доступа ssh использует, в основном, две крипто системы -- rsa и dsa. Эти криптосистемы различаются как кислое и мягкое. Подозреваю, что произошел существенный прорыв либо в разложении двусоставного числа на множители (rsa) либо в отношении вычисления дискретного логарифма (dsa). По умолчанию в 5-й версии используется rsa. Если в 4-й что-то другое, это означает rsa под контролем. В смысле, что реально современные математики совершили подвиг. Если же в 4-й тоже использовалась rsa, можно подозревать, что математика пока топчется на месте, но в говне pkcs11 -- ВСЕ КЛЮЧИ, ЧТО ВЫ ГЕНЕРИТЕ, СЛИВАЮТСЯ В ФБР. Итак, если в 4-м ssh криптосистема по-умолчанию не есть rsa, это значит прорыв в математике, сравнимый с высадкой на Марс. Если же там таки rsa, это всего лишь спецоперация подлога протокола. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
79. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 01:32 | ||
ИМХО, хакеры не хотели, чтобы кто-то "переимел" систему за счёт какой-то незакрытой уязвимости, и честно обновляли OpenSSH. Ну ещё и щелчок по носу админам неплохой, а куда ж взломщикам без этого? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
99. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от StaS (??) on 02-Дек-11, 13:33 | ||
А банальный firewall когда успели отменить ? | ||
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору |
112. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 14:46 | ||
> А банальный firewall когда успели отменить ? | ||
Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору |
117. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Кирилл (??) on 02-Дек-11, 14:59 | ||
> А банальный firewall когда успели отменить ? | ||
Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору |
144. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от StaS (??) on 02-Дек-11, 19:57 | ||
>> А банальный firewall когда успели отменить ? | ||
Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору |
146. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от PereresusNeVlezaetBuggy (ok) on 02-Дек-11, 20:01 | ||
>>> А банальный firewall когда успели отменить ? | ||
Ответить | Правка | ^ к родителю #144 | Наверх | Cообщить модератору |
150. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от vi on 03-Дек-11, 14:40 | ||
Не, надо так: | ||
Ответить | Правка | ^ к родителю #146 | Наверх | Cообщить модератору |
156. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от wildhawk on 04-Дек-11, 13:28 | ||
Этот прорыв в математике совершили еще до 21 века советские ученые. Кроме того, не советую использовать встроенные средства аппаратной криптографии, которые доступны на ителловских платформах. | ||
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору |
158. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от anonymous (??) on 05-Дек-11, 12:50 | ||
дайте ссылку пожалуйста... | ||
Ответить | Правка | ^ к родителю #156 | Наверх | Cообщить модератору |
154. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 03-Дек-11, 16:59 | ||
Там в .bash_history прикольный команды, особенно улыбнуло iptables -F, а если политика DROP на INPUT ) Видно какеры какие-то. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
167. "Разбор последствий взлома Linux-хостов выявил странную актив..." | +/– | |
Сообщение от Аноним (??) on 26-Дек-11, 17:39 | ||
Брутфорс мозга верить в непроверенные гипотезы каспера(призрака шалунишку), который удалил осла в 2009 году, за что его все любят и ненавидят, могли бы задать опросник сообществу центосников с коментами аля аффтар жжёш! | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |