Freesco, NND, CDN, EOS

witam mam problem ktos sie wlamam do mnie na router
chyba zostawil jakies procesy w tle tylko
za bardzo to nie wiem ktore to moga byc procesy

znalazlem 2 pliki
/home/admin/Byl
i /etc/rc.d/Byl

i do tego logi czyste wiec to pewne wlamanie

tylko jak teraz sprawdzic czy nic sie zostalo ruszone w systemie nie znam wszystkich procesow ktore powinny dzialac wydaje tylko mi sie ze mam ich wiecej o kilka wiec tu moje podejdzenia i do tego zurzycie procerowa wieksze

prosze o informacie ktore pomoga mi sie upewnic ze system dziala jak przed awaria
hasla oczywiscie zmienilem wiec moze chwile bedzie spokoju

_________________
CCDP CCNP CCIP

Obawiam sie, ze jak gosc byl dobry to zmiana hasel nic nie da. Jesli masz jakis backup to proponuje go przywrocic.

to jest problem
bo nie mam poniewaz nie mam mozliwosci zrobienia go - ale teraz to juz zmusze prezesa spoloty aby dal troche kasy na sprzet
to bedzie mozna cos przynajmniej dokupic np monitor i klawiature
aby mozna bylo zrobic buckup bez problemu

_________________
CCDP CCNP CCIP

co jest w tych plikach?

_________________
Pozdrawiam

Posegreguj pliki po datach i zobacz , które były ostatnio zmieniane . Sprawdź jeszcze datę i godzinę tych "BYL" i porównaj z innymi . Jeżeli nie zmienił daty utworzenia tych plików , to pewnie nie przyszło mu do głowy zmieniac innych . Ja miałem włam przez lukę phpBB , ale na szczęście w godzinkę przywróciłem bazę i konfigurację forum , zauktualizowałem phpBB i na razie spokój.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

a takie pytanie: miałeś ssh dostępne od strony internetu?? na jakim porcie?? jeśli tak i na 22, to wytropienie gościa może być trudne.
A jeśli wyłączyłeś tą opcję, to poszukaj wśród userów LANu, może któryś z nich chciał się sprawdzić w byciu "hakierem"
Na przyszłość odkomentuj i ustaw sobie maksymalną liczbę prób logowania w ustawieniach sshd ( /etc/ssh/sshd_config ) w linii 39 (MaxAuthTries).
Albo jak nie masz np. kont pocztowych czy www albo masz backup to przeinstaluj nnd na nowo
a jeśli masz coś ważnego na serwerku, to zrób backup i wtedy przeinstaluj NND
A po instalacji, jeśli potrzebujesz dostępu do NND z internetu, to zmień port, na którym pracuje w pliku, który ci podałem powyżej (linia 13: Port).
Zresztą wklej linię "DAEMONS= ... " z pliku /etc/rc.conf i zawartość pliku /etc/rc.d/rc.local to pomyślimy, co tam nie pasuje
Pozdrawiam.

_________________
NND 07/2005, P200MMX, 32MB RAM, HDD 2GB+bad sectory , Neo512, Sagem f@st 800, 5 userów.

jeżeli to jest włam to "Twój" kraker jest albo leniwy albo łatwowierny.

Za prosty do zauważenia jest ten plik aby to był jakiś "wymiatacz"

Z drugiej strony serwer sieci osiedlowej jest wymarzonym miejscem do nauki

Jakie masz usługi odpalone na tym serwerze?

_________________
Pozdrawiam

serwer tylko odpowiada na PING - nie mam ssh ani nic innego udostepnionego na zewnatrz

w pliku nic nie ma jest pusty a date 27 godz 19,55 w tym czasie bylem zalogowany ale nic nie robilem ogladalem telewizie jak zerknelem na top to pojawilo sie kilku userow wiec troche to mnie przerazilo co sie dzieje jak znalazlem plik byl to zmienilem szybko hasla i rebootnolem router

tylko jest taki problem ze moj serwer stoii za za drugim prawie takim samym - ktory jest wlasnoscia operatora on mi daje dostep do polpaka

_________________
CCDP CCNP CCIP

wiec moze to byc ktos z wewnątrz....

Jaka jest zawartosc tych plików?

_________________
Pozdrawiam

ze to byl ktos z wewnatrz to watpie poniewaz mam tylko 10 rodzin w tym max 13 komputerow
znam kazdego wiec nie maja takich umiejetnosci
ale ssh jest dotepny od wewnatrz czyli teoretycznie jest mozliwosc


DAEMONS=(syslogd klogd crond sshd lan internet iptables !xinetd dhcpd thttpd niceshaper mrtg ggrelay)
dodatkowo jeszcze samba (mldoneky ale od mies nie wlaczony)

_________________
CCDP CCNP CCIP

Moze to byc także zainfekowany komputer kogoś w sieci.

Ja bym sie nie chwilił adminowi ze jestem krakerem i czasem sie można się zdziwić co potrafi przeciętny tatuś przeciętnej rodziny

_________________
Pozdrawiam

oj sam nie wiem ale wykluczyl bym wszystkich w bloku nie znaja sie kompletnie na linuxie chyba ze ktos do nich przyjechal i sie zabawil w hakera
szkoda tylko ze logow nie mam to bym przynajmniej wiedzial z ktorego IP byly proby logowania na router itp a tak nic nie wiem tylko tyle ze cos sie stalo i nic wiecej
zobacze - moze jeszcze raz sie wlamie - i nie zdazy wszystkiego wykasowac

_________________
CCDP CCNP CCIP

znaczy sie co do logów to w ajkims sensie nic nie ma?

_________________
Pozdrawiam

jak mam pliki
AUTH
AUTH1 itp
to w 3 jest czysto
jeden jest z dnia 23 kiedy sie sam logowalem wiec ktos wyczyscil go

_________________
CCDP CCNP CCIP

hmmmm a spróbuj zmienić port ssh na jakiś inny "kosmiczny" i sprawdzaj np. raz na godzine w logach czy ktos nie szuka tego portu.

_________________
Pozdrawiam

dzieki za rady

sprobuje cos takiego zrobic

_________________
CCDP CCNP CCIP

Tak z ciekawości - SSH miałeś na 22 porcie
hasło proste czy może jakieś wymyślne
Da się włamać do naszego serwerka nie znając hasła
Strach się bać normalnie ....

Pozdro
Adam

_________________
Symetryk światło, CDN2 3.1.4-4-ARCH i686 AMD E-350 Processor AuthenticAMD & kilku użyszkodników

tak mialem ssh na 22 ale tylko od wewnatrz
a co do hasla to nie wiem czy bylo latwe teraz moge zdradzic bo mam nowe : admindellblok rootdellblok
wiec nie wiem czy bylo takie latwe

_________________
CCDP CCNP CCIP

he he he i w sami grupa robocza dellblok ;]

Ja bym sie nie chwilił adminowi ze jestem krakerem i czasem sie można się zdziwić co potrafi przeciętny tatuś przeciętnej rodziny

Patrz makog ;]

_________________

Ja tam cośpisałem o dobrym hasle i jakie kryteria powinno spełniać

_________________
Pozdrawiam