Такие дела. Я таскаю свой лаптоп на работу. Мне там выделили виндовозный десктоп, так я спер у этого выделения его IP, благо он постоянный, а не DHCP, и подосоединяю вместо него лаптоп. И вот что происходит. Вчера поглядел я на /var/log/secure и вижу
Nov 3 12:24:49 localhost proftpd[3816]: connect from 211.251.208.1
Гляжу в /var/log/proftpd.log — дальше — больше:
Oct 16 13:00:26 localhost proftpd[3955] localhost (p509171E0.dip.t-dialin.net[80.145.113.224]): FTP session opened.
Nov 03 12:24:51 localhost proftpd[3816] localhost (211.251.208.1[211.251.208.1]): FTP session opened.
Ничего себе, сказал я себе… Какой-такой «session opened"? Для кого opened?! Когда closed? Какие-такие корейцы и французы у меня тут хозяйничают?!!
Прогнал вчера chkrootkit со всеми прибамбасами — ничего. Сегодня на всякий случай на работе выключил sshd и proftpd. Прихожу с лекции — комп висит, экран черный, реагирует только на большую кррасную кнопку.
Посоветуете систему переставить?
Good Luck,
UT
Последние комментарии
-
OlegL, 17 декабря в 15:00 →
Перекличка
21
-
REDkiy, 8 июня в 9:09 →
Как «замокать» файл для юниттеста в Python?
2
-
fhunter, 29 ноября 2022 года в 2:09 →
Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt?
6
-
Иванн, 9 апреля 2022 года в 8:31 →
Ассоциация РАСПО провела первое учредительное собрание
1
-
Kiri11.ADV1, 7 марта 2021 года в 12:01 →
Логи catalina.out в TomCat 9 в формате JSON
1
ecobeing.ru
Совет:
Поставь OpenBSD, настрой ipfw, и НИКОГДА НЕ ВКЛЮЧАЙ КОМПЬЮТЕР!
А вообще млжно поднять систему с liveCD(не важно какого) и закрыть все входящие коннекты в iptables!
Да, спасибо. :-) Я просмотрел логи еще раз, думаю, это просто был connect() скан от фонаря, в который я случайно попал. У меня дома стоит железная файрвол (она же router) с iptables скриптами моего собственного изготовления, а вот про работу я как-то не подумал. Ну это мы поправим. В отличии от моего старого места работы, здешние сисадмины — изумительные чайники, хотя сама сеть очень быстрая (8M/sec down and 1M/sec up ADSL дома и T1 на работе) — взрывоопасное сочетание. Чего стоит категорический запрет гонять любые сервисы на машинах (с перечислением «любых» сервисов: FTP, DHCP, DNS, POP, SMTP, Napster) и предупреждение об ужасной опасности и уязвимости Линуха с категорическим обещанием лишить пользователей Линуха всякой поддержки и совета…
Good Luck,
UT
Давно пора пиздить (кому говорю: снеси нах.. цензуру) даунов. Можно приступать ;).
По поводу сути вопроса:
1. Что за дистрибутив?
2. Насторойки сильно изменены от дефолтных (в каком режиме ставился)?
Лень — не всегда добродетель :)))
Решение (извини, если что слишком грубо):
1. ОБЯЗАТЕЛЬНО: бэкап всех ДАННЫХ и переустановка ОС с форматированием всех разделов.
2. После переустановки продумать достаточно параноидальные настройки по безопасности.
3. Своевременное наложение патчей (ИМХО лучше пожертвовать частью функциональности, меньше головной боли будет.).
ЗЫ: На домешней машине дочка рутовый пароль уже подобрала? ;)
Анархист, давно ли страдаем паранойей? ;))
Ну посканировали разишка и всё! Что тут такого?!
Если бы хакнули, то в логах записи об ’session opened' с соответствующих айпишников тоже удалили бы
Всегда.
Может на это мозгов/опыта пока не хватило.
А единственный способ ДОСТОВЕРНОГО вычищения руткита я описал.
Ндя… «бэкап всех ДАННЫХ и переустановка ОС с форматированием всех разделов» говоришь?! Так нафига данные бэкапить после того, как взлом осуществлён?! Там уже могли такого поназаписывать в эти самые данные…
Ставится задача восстановить систему и спасти что можно из данных.
Есть альтернативные предложения?
Да не ставилась такой задачи ;)
Из альтернативы: поставить для начала сниффер и смотреть есть ли из инета (и обратно) какие-нибудь левые коннекты. Если таковых не будет замечено, то не забивать себе голову ерундой, оставить всё как есть и лечиться от паранойи =).
Если, всё же, обнаружится какая-нибудь левость, и при этом тот же netstat её не покажет, то качать бинарники незатрояненного netstat’а. Искать им какой левый порт открыт, вычислять этим же самым нетстатом какое приложение маппит этот порт, удалить это приложение… (примерно так).
Впринципе, можно и твой способ применить, НО! Не нужно бэкапить все данные! Бэкапить только критически важные данные…
Slackware 9.0
Очень сильно. Переставленное ядро с множеством патчей и изменениями в Makefile, сильно переписанные сетевые скрипты, переконфигурированы основные сервера, новый компилятор.
Секьюрити патчи, правда, все на месте, это строго…
В общем да, я давно уже хотел поставить 9.1 и изменить структуру диска. Мне, правда, придется переносить большую базу данных с оценками моих студентов и информацией по курсам, чего я никогда не делал. Если база погибнет, мне тож не жить… :-)
Распечатать ее на бумаге, что ли, на всякий пожарный…
Домашних машин четыре (не считая лаптопа), одна — в полном распоряжении дочери, одна у жены, одна — раутер (старый второй пень с маленьким диском, собранный практически из запчастей), одна — файловый сервер, фринетовая и интернетовая нода, и еще так по мелочи… Дочь (я думаю) не знает паролей на мой лаптоп, но строго говоря, они ей и не нужны, все остальные пароли ей были сообщены, так как могут понадобиться.
Спасибо за помощь,
Good Luck,
UT
Сниффера на раутере ничего необычного не показывают. И порты открыты только те, которым следует быть таковыми. Chkrootkit свеженький опять-же молчит. nmap и lsof -i тож ничего интересного не показывают… Если б эта зараза не зависла давеча, я б и не ерепенился. К тому ж непонятно, кому понадобилось вскрывать машину с университетским IP?..
Good Luck,
UT
UT, говорю ж не забивай голову ерундой! ;).
Ну мало ли из-за чего мог повиснуть компьютер?!. Природная анамалия, блин… По иронии судьбы, совпавшая со странными записями в твоих логах. =)
Еще скажи, сильная солнечная активность была в тот день (с) BOFH
Как в том анекдоте:
У психиатра спрашивают:
- Как поживает Ваш пациент?
- Который?
- Да тот, кого Вы от паранойи лечили.
- А, этот… Были достигнуты некоторые успехи, но, увы, я не успел закончить курс лечения.
- Почему?
- Очередное покушение увенчалось успехом.
Так что: параной много не бывает. Запомните это.