Freesco, NND, CDN, EOS :: Wyświetl temat - Ale jaja, ktoś mi się wbił na serwer !!!!!

Autor:

JOSH [ czwartek, 19 kwietnia 2007, 20:51 ]

Tytuł:

Ale jaja, ktoś mi się wbił na serwer !!!!!

wymyśliłem kosmiczny port, kosmiczne hasła i jeszcze zablokowany dostęp z zewnątrz

Patrzę a tu jakieś dziwne komendy których nie znam, ostatnio wydawałem.....

oto kawałek auth

: [/] [] ()

Mar 16 00:33:13 SERWER sshd[158]: Server listening on 0.0.0.0 port 34343.
Mar 16 01:02:08 SERWER sshd[393]: Accepted password for josh from 192.168.1.25 port 2818 ssh2
Mar 16 01:02:08 SERWER sshd[393]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory
Mar 16 01:02:08 SERWER sshd[393]: lastlog_openseek: /var/log/lastlog is not a file or directory!
Mar 16 01:02:08 SERWER sshd[393]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory
Mar 16 01:02:08 SERWER sshd[393]: lastlog_openseek: /var/log/lastlog is not a file or directory!
Mar 16 01:02:18 SERWER su[398]: + pts/0 josh-root
Mar 16 01:02:25 SERWER sshd[158]: Received signal 15; terminating.
Mar 16 01:03:15 SERWER sshd[158]: Server listening on 0.0.0.0 port 34343.
Mar 16 01:05:29 SERWER login(pam_unix)[387]: session opened for user josh by LOGIN(uid=0)
Mar 16 01:08:22 SERWER su(pam_unix)[397]: authentication failure; logname=josh uid=1001 euid=0 tty=tty1 ruser=josh rhost=  use
r=root
Mar 16 01:08:23 SERWER su[397]: pam_authenticate: Authentication failure
Mar 16 01:08:23 SERWER su[397]: - tty1 josh-root
Mar 16 01:08:32 SERWER su[398]: + tty1 josh-root
Mar 16 01:08:44 SERWER sshd[158]: Received signal 15; terminating.
Mar 16 01:12:44 SERWER sshd[158]: Server listening on 0.0.0.0 port 34343.
Mar 16 01:14:14 SERWER login(pam_unix)[947]: session opened for user josh by LOGIN(uid=0)
Mar 16 01:14:22 SERWER su[1152]: + tty1 josh-root
Mar 16 01:18:24 SERWER sshd[158]: Received signal 15; terminating.
Mar 16 01:19:08 SERWER sshd[159]: Server listening on 0.0.0.0 port 34343.
Mar 16 01:24:39 SERWER sshd[2088]: Accepted password for josh from 192.168.1.25 port 2854 ssh2
Mar 16 01:24:39 SERWER sshd[2088]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory
Mar 16 01:24:39 SERWER sshd[2088]: lastlog_openseek: /var/log/lastlog is not a file or directory!
Mar 16 01:24:39 SERWER sshd[2088]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory
Mar 16 01:24:39 SERWER sshd[2088]: lastlog_openseek: /var/log/lastlog is not a file or directory!
Mar 16 01:24:46 SERWER su[2124]: + pts/0 josh-root
Mar 16 01:40:19 SERWER sshd[6601]: Accepted password for josh from 192.168.1.25 port 2872 ssh2
Mar 16 01:40:19 SERWER sshd[6601]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory
Mar 16 01:40:19 SERWER sshd[6601]: lastlog_openseek: /var/log/lastlog is not a file or directory!
Mar 16 01:40:19 SERWER sshd[6601]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory
Mar 16 01:40:19 SERWER sshd[6601]: lastlog_openseek: /var/log/lastlog is not a file or directory!
Mar 16 01:40:26 SERWER su[6661]: + pts/0 josh-root
Mar 16 01:45:47 SERWER sshd[8008]: Accepted password for josh from 192.168.1.25 port 2902 ssh2
Mar 16 01:45:47 SERWER sshd[8008]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory
Mar 16 01:45:47 SERWER sshd[8008]: lastlog_openseek: /var/log/lastlog is not a file or directory!
Mar 16 01:45:47 SERWER sshd[8008]: lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory
Mar 16 01:45:47 SERWER sshd[8008]: lastlog_openseek: /var/log/lastlog is not a file or directory!

GeSHi © Codebox Plus

widać w logach ,że na siłę chciał dodać do crona plik .rebbot który ma taką zawartość

: [/] [] ()

#!/bin/sh

    R=`cat /dev/urandom | od -N 1 | awk '{print substr($2, 5, 1)}'`
    if [ "$R" -lt 7 ]; then
        echo "1" > /proc/sys/net/ipv4/ip_forward
    else
        echo "0" > /proc/sys/net/ipv4/ip_forward
    fi

Fragment crond

: [/] [] ()

Plik: crond             Kol 0              82412 bajtów                                                                     0%
16-Mar-2007 00:33  /usr/sbin/crond V2.9 dillon, started
16-Mar-2007 01:01  USER root pid 392 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 01:03  /usr/sbin/crond V2.9 dillon, started
16-Mar-2007 01:12  /usr/sbin/crond V2.9 dillon, started
16-Mar-2007 01:19  /usr/sbin/crond V2.9 dillon, started
16-Mar-2007 01:51  /usr/sbin/crond V2.9 dillon, started
16-Mar-2007 02:01  USER root pid 3112 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 03:01  USER root pid 13767 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 04:01  USER root pid 23230 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 05:01  USER root pid 31505 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 06:01  USER root pid 7360 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 07:01  USER root pid 19687 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 08:01  USER root pid 5619 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 09:01  USER root pid 26259 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 10:01  USER root pid 19265 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 11:01  USER root pid 21185 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 12:01  USER root pid 27060 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 13:01  USER root pid 1723 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 14:01  USER root pid 19002 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 15:01  USER root pid 11559 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 16:01  USER root pid 1565 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 17:01  USER root pid 24102 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 18:01  USER root pid 13103 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 19:01  USER root pid 28093 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 20:01  USER root pid 10814 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 20:29  /usr/sbin/crond V2.9 dillon, started
16-Mar-2007 21:01  USER root pid 21478 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 22:01  USER root pid 30947 cmd /usr/sbin/run-cron /etc/cron.hourly
16-Mar-2007 23:01  USER root pid 12418 cmd /usr/sbin/run-cron /etc/cron.hourly
17-Mar-2007 00:01  USER root pid 22248 cmd /usr/sbin/run-cron /etc/cron.hourly
17-Mar-2007 00:02  USER root pid 22922 cmd /usr/sbin/run-cron /etc/cron.daily
17-Mar-2007 00:02  unable to exec /usr/sbin/sendmail -t, user -oem, output to sink null17-Mar-2007 01:01  USER root pid 20368
cmd /usr/sbin/run-cron /etc/cron.hourly

A PLIK MESSAGES ZAJMUJE 50 MEGA AAA!!

Freesco, NND, CDN, EOS http://forum.freesco.pl/

Ale jaja, ktoś mi się wbił na serwer !!!!! http://forum.freesco.pl/viewtopic.php?f=22&t=15225	Strona 1 z 2

Autor:	qbaf [ czwartek, 19 kwietnia 2007, 20:56 ]
Tytuł:
no i dobrze teraz wyłacz modem od neta z prądu i nie bedzie problemów

Autor:	Maciek [ czwartek, 19 kwietnia 2007, 21:11 ]
Tytuł:
Co masz robić? Teraz się zastanawiasz? Hasło do josh było zapewne josh? Podstawowa rzecz to NIEsłownikowe mocne hasła zawierające przynajmniej duże i małe litery oraz cyfry. Teraz przeinstaluj system, bo zapewne nie będziesz w stanie znaleźć wszystkiego, co zrobił.

Autor:	tasiorek [ czwartek, 19 kwietnia 2007, 21:14 ]
Tytuł:
Na poczatek polecam reinstalke systemu, a pozniej wylaczenie autoryzacji za pomoca hasel i zostawienie tylko za pomoca kluczy.

Autor:	zciech [ czwartek, 19 kwietnia 2007, 21:20 ]
Tytuł:
Mar 16 01:02:08 SERWER sshd[393]: Accepted password for josh from 192.168.1.25 port 2818 ssh2 192.168.1.25 - zaise wlamal Ci sie ktros od srodka. Zapewne znal haslo.

Autor:	hx [ czwartek, 19 kwietnia 2007, 21:28 ]
Tytuł:
to pewnie mama miałeś hasło przyklejone do monitora i sprawdzała czy na strony porno wchodzisz

Autor:	JakubC [ czwartek, 19 kwietnia 2007, 22:24 ]
Tytuł:
To są Twoje wpisy. Zamontuj sobie czujnik który nie pozwoli Ci wchodzić na serwer kiedy jesteś pod wpływem alkoholu

Autor:	JOSH [ piątek, 20 kwietnia 2007, 00:50 ]
Tytuł:
Normalnie ociemniałem... robot tego nie robił bo czytał mana. puszczał arping na broadcast edytował wszystkie pliki logów mceditem, pozatym jeszcze rc.M , rc.4 , spool/root , dodał skrypcik do crona hourly, zabijał wszystkie procesy !! To ja się dziwiłem od wczoraj odłączałem serwa od prądu 2 razy, bo net nie działał. No ale chyba po problemie wywaliłem sshd z autostartu hehe Podłączę sobie jakiś drugi złomiasty monitorek

Autor:	-MW- [ piątek, 20 kwietnia 2007, 00:50 ]
Tytuł:
albo niech sie router wylacza jak wyczuje alkohol. szkoda tylko klientow, ze nie beda mieli netu.

Autor:	JakubC [ piątek, 20 kwietnia 2007, 14:42 ]
Tytuł:
Nie mniej jednak to ktoś z Twojej sieci, a do tego zna Twoje hasło. Ciekawy jest tylko cel zadań które czynił. Nie widzę potrzeby wyłączania sshd. Wystarczą dobre hasła.

Autor:	JOSH [ czwartek, 19 kwietnia 2007, 21:05 ]
Tytuł:
Kiedyś chyba czerwo pisał skrypt do ssh z możliwością logowania np 5 razy na godzine... Zablokowałem tylko dostęp z zewnątrz i itak du...a co ja mam teraz zrobić? Pewnie najlepiej instalować od nowa nnd??

Autor:	JOSH [ czwartek, 19 kwietnia 2007, 21:15 ]
Tytuł:
pisałem że kosmiczne hasła hasło na josh miało 11 znaków (2 duże litery i 2 cyfry) a na root około 18 znaków ( w tym 3 duże litery i 5 cyfr) głupie gadanie, i jak tu się chronić, chyba lepiej faktycznie odłączyć modem Cholera, jade juztro na uczelnię i będzie tak zipieć przez weekend, muszę poczytać o tych kluczach.. Trochę się przejechałem

Autor:	JOSH [ czwartek, 19 kwietnia 2007, 21:22 ]
Tytuł:
i co ciekawe z mojego wewnętrznego ip z którego używam mój komputer......... co to ma być? zapewne hasła nie znał bo failure autoryzaji jest od h... i ciut ciut wszędzie widać jakieś forwardy zresztą ssh mam ustawione na port 34343

Autor:	zciech [ czwartek, 19 kwietnia 2007, 21:29 ]
Tytuł:
JOSH pisze: i co ciekawe z mojego wewnętrznego ip z którego używam mój komputer......... co to ma być? Moja rada pic z umiarem. Alkohol pity z umiarem nie szkodzi nawet w największych ilościach

Autor:	Osfald [ sobota, 21 kwietnia 2007, 15:00 ]
Tytuł:
a nie probowales od jakiegos klienta z sieci zalogowac sie na swoj serwer podczas np. naprawy jakiejs usterki? moze klient korzysta z keylogera...

Autor:	JOSH [ sobota, 21 kwietnia 2007, 16:04 ]
Tytuł:
też możliwe, robiłem tak kilka razy. Tutaj różne magiczne rzeczy się dzieją. Jest tu mnóstwo radiówek i nie ma wolnych kanałów... to dlatego

Autor:	rikardo7 [ sobota, 21 kwietnia 2007, 18:21 ]
Tytuł:
kup laptopa a nie korzystaj z kompow w sieci,ludzie maja takie cuda ze sie w pale nie miesci!! a najciekawsze jest to, ze nie wiedza do czego co jest,nie umia z tego korzystac ale prubuja!! aha jak masz arpwatcha to powinien odnotowac na ktorym kompie byla proba zmiany MAC.

Strona 1 z 2	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/