Моя ubunt'a взломана! Помогите разобраться в действиях взломщика

[edwardd]

Кто-то удаленно проник в мою операционку, сменил пароль -- его легко было вычислить.
Я в шоке.
Помогите восстановить пароль и разобраться в его действиях.

вот история последних операций взломщика:
uname -a
ls -al
cat .bash_history
egrep -ir "visa|mastercard|amex"
grep -ir "visa|mastercard|amex"
egrep -ir 'mastercard|visa' /
egrep -ir 'mastercard|visa
egrep -ir 'mastercard|visa'
egrep -ir 'mastercard|visa' /home|egrep -v cache >> /usr/lib/ld/.cv
egrep -ir 'mastercard|visa' /www >> /usr/lib/ld/.cv
cd /tmp
lss -al
ls -al
cd motion
ls
cd /tmp
ls a-ll
ls -al
cd
passwd
w
ps x
kill -9 27423
sudo mc
egrep -ir 'mastercard|visa' /www >> /usr/lib/ld/.cv
passwd
cd motion

[denis88]

А где машинка стоит, дома?

[edwardd]

дома

[denis88]

Лично у меня сомнения что в линь можно проникнуть удаленно, если тока сам не пустил.

[edwardd]

1. в квартире домовых, вроде, не водится. Да и линукс, думаю, им по барабану.
2. гостей в момент атаки (ночь) не было.
3. cat .bash_history выдает действия, которых я точно не выполнял.
4. пароль root перебит командой passwd.

[Malamut]

Если это не прикол, то кто-то просто странным способом пытался найти коды кредиток))) А какой пароль полетел? Пользователя или рута? Если рута - так меняй через судо, если пользователя, то видать у тебя нет пароля рута. Если есть, то меняй через него, если нет, но есть ещё пользователи, то меняй через них добавив их через лайвсд в sudoers, если пользователей нет, то всё равно через лайвсд, но тут уже посложней и надо разбираться. Если получится загрузиться с правами рута и текущим корнем - то no problem. Кстати, single mode вроде это и делает - попробуй.

[dmay]

denis, наивный юный романтик
Просто погугли по заметным отрывкам из этой хистори, много нового узнаешь. Сделать систему полностью неуязвимой можно только отрубив её от сети.

http://marc.info/?l=incidents&m=101882130516538&w=2
http://www.packetfu.org/hpa.html
http://forensics.sans.org/community/papers/analysis_of_a_compromised_red_hat_linux_7.2_system_21
Это так, на ночь почитать. Пока будешь систему переставлять и заливать все возможные/невозможные обновления.

[Otetz]

А SSH сервер был поднят? Если да, то добро пожаловать в клуб не умеющих настраивать sshd Боты только так пароли к шеллу пытаются подобрать. Те, у кого поднят sshd, могут наслаждаться этим зрелищем в /var/log/auth.log Раз пароль был простой, могли подобрать и поломать систему. Надо было отключить root login и вообще, разрешить удалённый логин для выделенного пользователя с офигенным паролем. Или отключить запрос пароля и авторизоваться по ключу.

[shame]

А еще и порт шела поменять на нестандартный, это от ботов идеально спасает =)

[edwardd]

otetz, ты прав...
что делать, как вернуть пароль пользователя?
Наскоко знаю, пароль хранится в /etc/shadow/ или в убунте не так? 

[Malamut]

Так-то оно скорее всего так, только он на то и shadow)))

[Veter]

для восстановления нужно загрузиться в recovery (single) mode и воспользоваться командой passwd

[dmay]

edward, ты хотя-б по первой ссылке которую я привёл ходил? Папочка /usr/lib/.lib у тебя есть? Если есть, то посмотри сколько ссылок в неё ведёт. Если не лень их все тереть - восстанавливай пароль и спи спокойно, если лень и не хочется держать дома зомбика - лучше переставь начисто систему.

[edwardd]

посмотрел я в  /var/log/auth.log как бот шустро пароли подбирал... и переставил систему.
Спасибо за советы.

[avial]

балин , столько умных людей собралось , а в теме както  пезысходностию попахивает,     какбудтобы если я держу ssh сервер у себя для удалённого доступа то ето вопрос времени когда меня забрутят боты или кулхацкеры    есть такая  хорошая програмка fail2ban ,  смотрит в логи  и при наличии там определённого количества неудачных авторизаций с конкретного ip (всё настраиваетса)  банит айпишник на определённое время, баня раздаётса по средствам iptables.
так можно обезопасить от брутфорса и апач и ssh и фтпсерверок какойнить,  единственное что надо сделать после установки так ето полазить там в конфигах на тему ужесточения бани по времени,,