Freesco, NND, CDN, EOS :: Wyświetl temat - ofiara wlamania

Freesco, NND, CDN, EOS http://forum.freesco.pl/

ofiara wlamania http://forum.freesco.pl/viewtopic.php?f=22&t=9623	Strona 1 z 2

Autor:	eptesicus [ czwartek, 27 października 2005, 20:58 ]
Tytuł:	ofiara wlamania
witam mam problem ktos sie wlamam do mnie na router chyba zostawil jakies procesy w tle tylko za bardzo to nie wiem ktore to moga byc procesy znalazlem 2 pliki /home/admin/Byl i /etc/rc.d/Byl i do tego logi czyste wiec to pewne wlamanie tylko jak teraz sprawdzic czy nic sie zostalo ruszone w systemie nie znam wszystkich procesow ktore powinny dzialac wydaje tylko mi sie ze mam ich wiecej o kilka wiec tu moje podejdzenia i do tego zurzycie procerowa wieksze prosze o informacie ktore pomoga mi sie upewnic ze system dziala jak przed awaria hasla oczywiscie zmienilem wiec moze chwile bedzie spokoju

Autor:	tasiorek [ czwartek, 27 października 2005, 21:02 ]
Tytuł:
Obawiam sie, ze jak gosc byl dobry to zmiana hasel nic nie da. Jesli masz jakis backup to proponuje go przywrocic.

Autor:	eptesicus [ czwartek, 27 października 2005, 21:06 ]
Tytuł:
to jest problem bo nie mam poniewaz nie mam mozliwosci zrobienia go - ale teraz to juz zmusze prezesa spoloty aby dal troche kasy na sprzet to bedzie mozna cos przynajmniej dokupic np monitor i klawiature aby mozna bylo zrobic buckup bez problemu

Autor:	Jacq [ czwartek, 27 października 2005, 21:06 ]
Tytuł:
co jest w tych plikach?

Autor:	Albercik [ czwartek, 27 października 2005, 21:18 ]
Tytuł:
skuter18 pisze: to jest problem bo nie mam poniewaz nie mam mozliwosci zrobienia go - ale teraz to juz zmusze prezesa spoloty aby dal troche kasy na sprzet to bedzie mozna cos przynajmniej dokupic np monitor i klawiature aby mozna bylo zrobic buckup bez problemu Posegreguj pliki po datach i zobacz , które były ostatnio zmieniane . Sprawdź jeszcze datę i godzinę tych "BYL" i porównaj z innymi . Jeżeli nie zmienił daty utworzenia tych plików , to pewnie nie przyszło mu do głowy zmieniac innych . Ja miałem włam przez lukę phpBB , ale na szczęście w godzinkę przywróciłem bazę i konfigurację forum , zauktualizowałem phpBB i na razie spokój.

Autor:	Adrian1985 [ czwartek, 27 października 2005, 21:18 ]
Tytuł:
a takie pytanie: miałeś ssh dostępne od strony internetu?? na jakim porcie?? jeśli tak i na 22, to wytropienie gościa może być trudne. A jeśli wyłączyłeś tą opcję, to poszukaj wśród userów LANu, może któryś z nich chciał się sprawdzić w byciu "hakierem" Na przyszłość odkomentuj i ustaw sobie maksymalną liczbę prób logowania w ustawieniach sshd ( /etc/ssh/sshd_config ) w linii 39 (MaxAuthTries). Albo jak nie masz np. kont pocztowych czy www albo masz backup to przeinstaluj nnd na nowo a jeśli masz coś ważnego na serwerku, to zrób backup i wtedy przeinstaluj NND A po instalacji, jeśli potrzebujesz dostępu do NND z internetu, to zmień port, na którym pracuje w pliku, który ci podałem powyżej (linia 13: Port). Zresztą wklej linię "DAEMONS= ... " z pliku /etc/rc.conf i zawartość pliku /etc/rc.d/rc.local to pomyślimy, co tam nie pasuje Pozdrawiam.

Autor:	Jacq [ czwartek, 27 października 2005, 21:38 ]
Tytuł:
jeżeli to jest włam to "Twój" kraker jest albo leniwy albo łatwowierny. Za prosty do zauważenia jest ten plik aby to był jakiś "wymiatacz" Z drugiej strony serwer sieci osiedlowej jest wymarzonym miejscem do nauki Jakie masz usługi odpalone na tym serwerze?

Autor:	eptesicus [ czwartek, 27 października 2005, 22:14 ]
Tytuł:
serwer tylko odpowiada na PING - nie mam ssh ani nic innego udostepnionego na zewnatrz w pliku nic nie ma jest pusty a date 27 godz 19,55 w tym czasie bylem zalogowany ale nic nie robilem ogladalem telewizie jak zerknelem na top to pojawilo sie kilku userow wiec troche to mnie przerazilo co sie dzieje jak znalazlem plik byl to zmienilem szybko hasla i rebootnolem router tylko jest taki problem ze moj serwer stoii za za drugim prawie takim samym - ktory jest wlasnoscia operatora on mi daje dostep do polpaka

Autor:	Jacq [ czwartek, 27 października 2005, 22:20 ]
Tytuł:
wiec moze to byc ktos z wewnątrz.... Jaka jest zawartosc tych plików?

Autor:	eptesicus [ czwartek, 27 października 2005, 22:28 ]
Tytuł:
ze to byl ktos z wewnatrz to watpie poniewaz mam tylko 10 rodzin w tym max 13 komputerow znam kazdego wiec nie maja takich umiejetnosci ale ssh jest dotepny od wewnatrz czyli teoretycznie jest mozliwosc DAEMONS=(syslogd klogd crond sshd lan internet iptables !xinetd dhcpd thttpd niceshaper mrtg ggrelay) dodatkowo jeszcze samba (mldoneky ale od mies nie wlaczony)

Autor:	Jacq [ czwartek, 27 października 2005, 22:40 ]
Tytuł:
Moze to byc także zainfekowany komputer kogoś w sieci. Ja bym sie nie chwilił adminowi ze jestem krakerem i czasem sie można się zdziwić co potrafi przeciętny tatuś przeciętnej rodziny

Autor:	eptesicus [ czwartek, 27 października 2005, 22:46 ]
Tytuł:
oj sam nie wiem ale wykluczyl bym wszystkich w bloku nie znaja sie kompletnie na linuxie chyba ze ktos do nich przyjechal i sie zabawil w hakera szkoda tylko ze logow nie mam to bym przynajmniej wiedzial z ktorego IP byly proby logowania na router itp a tak nic nie wiem tylko tyle ze cos sie stalo i nic wiecej zobacze - moze jeszcze raz sie wlamie - i nie zdazy wszystkiego wykasowac

Autor:	Jacq [ czwartek, 27 października 2005, 23:21 ]
Tytuł:
znaczy sie co do logów to w ajkims sensie nic nie ma?

Autor:	eptesicus [ piątek, 28 października 2005, 10:01 ]
Tytuł:
jak mam pliki AUTH AUTH1 itp to w 3 jest czysto jeden jest z dnia 23 kiedy sie sam logowalem wiec ktos wyczyscil go

Autor:	Jacq [ piątek, 28 października 2005, 11:02 ]
Tytuł:
hmmmm a spróbuj zmienić port ssh na jakiś inny "kosmiczny" i sprawdzaj np. raz na godzine w logach czy ktos nie szuka tego portu.

Autor:	eptesicus [ piątek, 28 października 2005, 11:30 ]
Tytuł:
dzieki za rady sprobuje cos takiego zrobic

Autor:	adamol [ piątek, 28 października 2005, 15:46 ]
Tytuł:
Tak z ciekawości - SSH miałeś na 22 porcie hasło proste czy może jakieś wymyślne Da się włamać do naszego serwerka nie znając hasła Strach się bać normalnie .... Pozdro Adam

Autor:	eptesicus [ piątek, 28 października 2005, 22:12 ]
Tytuł:
tak mialem ssh na 22 ale tylko od wewnatrz a co do hasla to nie wiem czy bylo latwe teraz moge zdradzic bo mam nowe : admindellblok rootdellblok wiec nie wiem czy bylo takie latwe

Autor:	czerwo [ piątek, 28 października 2005, 22:24 ]
Tytuł:
he he he i w sami grupa robocza dellblok ;] Ja bym sie nie chwilił adminowi ze jestem krakerem i czasem sie można się zdziwić co potrafi przeciętny tatuś przeciętnej rodziny Patrz makog ;]

Autor:	Jacq [ piątek, 28 października 2005, 23:20 ]
Tytuł:
Ja tam cośpisałem o dobrym hasle i jakie kryteria powinno spełniać

Strona 1 z 2	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/