Форум русскоязычного сообщества Ubuntu


Автор Тема: Моя ubunt'a взломана! Помогите разобраться в действиях взломщика  (Прочитано 1848 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн edwardd

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
Кто-то удаленно проник в мою операционку, сменил пароль -- его легко было вычислить.
Я в шоке.
Помогите восстановить пароль и разобраться в его действиях.

вот история последних операций взломщика:
uname -a
ls -al
cat .bash_history
egrep -ir "visa|mastercard|amex"
grep -ir "visa|mastercard|amex"
egrep -ir 'mastercard|visa' /
egrep -ir 'mastercard|visa
egrep -ir 'mastercard|visa'
egrep -ir 'mastercard|visa' /home|egrep -v cache >> /usr/lib/ld/.cv
egrep -ir 'mastercard|visa' /www >> /usr/lib/ld/.cv
cd /tmp
lss -al
ls -al
cd motion
ls
cd /tmp
ls a-ll
ls -al
cd
passwd
w
ps x
kill -9 27423
sudo mc
egrep -ir 'mastercard|visa' /www >> /usr/lib/ld/.cv
passwd
cd motion

denis88

  • Гость
А где машинка стоит, дома?

Оффлайн edwardd

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля

denis88

  • Гость
Лично у меня сомнения что в линь можно проникнуть удаленно, если тока сам не пустил.

Оффлайн edwardd

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
1. в квартире домовых, вроде, не водится. Да и линукс, думаю, им по барабану.
2. гостей в момент атаки (ночь) не было.
3. cat .bash_history выдает действия, которых я точно не выполнял.
4. пароль root перебит командой passwd.

Оффлайн Malamut

  • Ubuntu Member
  • Администратор
  • Старожил
  • *
  • Сообщений: 3353
  • Я добрый, честно!
    • Просмотр профиля
    • Моя страница на Launchpad
Если это не прикол, то кто-то просто странным способом пытался найти коды кредиток))) А какой пароль полетел? Пользователя или рута? Если рута - так меняй через судо, если пользователя, то видать у тебя нет пароля рута. Если есть, то меняй через него, если нет, но есть ещё пользователи, то меняй через них добавив их через лайвсд в sudoers, если пользователей нет, то всё равно через лайвсд, но тут уже посложней и надо разбираться. Если получится загрузиться с правами рута и текущим корнем - то no problem. Кстати, single mode вроде это и делает - попробуй.
"Носителем суверенитета и единственным источником власти в Российской Федерации является ее многонациональный народ" Конституция РФ

Оффлайн dmay

  • Старожил
  • *
  • Сообщений: 1084
  • man google, кому сказал!
    • Просмотр профиля
denis, наивный юный романтик
Просто погугли по заметным отрывкам из этой хистори, много нового узнаешь. Сделать систему полностью неуязвимой можно только отрубив её от сети.

http://marc.info/?l=incidents&m=101882130516538&w=2
http://www.packetfu.org/hpa.html
http://forensics.sans.org/community/papers/analysis_of_a_compromised_red_hat_linux_7.2_system_21
Это так, на ночь почитать. Пока будешь систему переставлять и заливать все возможные/невозможные обновления.
Ты попал в мою коллекцию криворуких тупых нубов!

Оффлайн Otetz

  • Активист
  • *
  • Сообщений: 455
    • Просмотр профиля
А SSH сервер был поднят? Если да, то добро пожаловать в клуб не умеющих настраивать sshd :) Боты только так пароли к шеллу пытаются подобрать. Те, у кого поднят sshd, могут наслаждаться этим зрелищем в /var/log/auth.log Раз пароль был простой, могли подобрать и поломать систему. Надо было отключить root login и вообще, разрешить удалённый логин для выделенного пользователя с офигенным паролем. Или отключить запрос пароля и авторизоваться по ключу.

Anything, that MAY go wrong, WILL go wrong...

shame

  • Гость
А еще и порт шела поменять на нестандартный, это от ботов идеально спасает =)

Оффлайн edwardd

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
otetz, ты прав...
что делать, как вернуть пароль пользователя?
Наскоко знаю, пароль хранится в /etc/shadow/ или в убунте не так? 

Оффлайн Malamut

  • Ubuntu Member
  • Администратор
  • Старожил
  • *
  • Сообщений: 3353
  • Я добрый, честно!
    • Просмотр профиля
    • Моя страница на Launchpad
Так-то оно скорее всего так, только он на то и shadow)))
"Носителем суверенитета и единственным источником власти в Российской Федерации является ее многонациональный народ" Конституция РФ

Оффлайн Veter

  • Активист
  • *
  • Сообщений: 262
    • Просмотр профиля
для восстановления нужно загрузиться в recovery (single) mode и воспользоваться командой passwd

Оффлайн dmay

  • Старожил
  • *
  • Сообщений: 1084
  • man google, кому сказал!
    • Просмотр профиля
edward, ты хотя-б по первой ссылке которую я привёл ходил? Папочка /usr/lib/.lib у тебя есть? Если есть, то посмотри сколько ссылок в неё ведёт. Если не лень их все тереть - восстанавливай пароль и спи спокойно, если лень и не хочется держать дома зомбика - лучше переставь начисто систему.
Ты попал в мою коллекцию криворуких тупых нубов!

Оффлайн edwardd

  • Автор темы
  • Новичок
  • *
  • Сообщений: 20
    • Просмотр профиля
посмотрел я в  /var/log/auth.log как бот шустро пароли подбирал... и переставил систему.
Спасибо за советы.

avial

  • Гость
балин , столько умных людей собралось , а в теме както  пезысходностию попахивает,  :idiot2:   какбудтобы если я держу ssh сервер у себя для удалённого доступа то ето вопрос времени когда меня забрутят боты или кулхацкеры  ;D  есть такая  хорошая програмка fail2ban ,  смотрит в логи  и при наличии там определённого количества неудачных авторизаций с конкретного ip (всё настраиваетса)  банит айпишник на определённое время, баня раздаётса по средствам iptables.
так можно обезопасить от брутфорса и апач и ssh и фтпсерверок какойнить,  единственное что надо сделать после установки так ето полазить там в конфигах на тему ужесточения бани по времени,,  :)

 

Страница сгенерирована за 0.1 секунд. Запросов: 22.