nixp.ru v3.0

25 мая 2017,
четверг,
21:17:56 MSK

DevOps с компанией «Флант»
anonymous написал 8 ноября 2003 года в 00:51 (349 просмотров) Ведет себя неопределенно; открыл 1814 темы в форуме, оставил 5575 комментариев на сайте.

Такие дела. Я таскаю свой лаптоп на работу. Мне там выделили виндовозный десктоп, так я спер у этого выделения его IP, благо он постоянный, а не DHCP, и подосоединяю вместо него лаптоп. И вот что происходит. Вчера поглядел я на /var/log/secure и вижу

Nov 3 12:24:49 localhost proftpd[3816]: connect from 211.251.208.1

Гляжу в /var/log/proftpd.log — дальше — больше:

Oct 16 13:00:26 localhost proftpd[3955] localhost (p509171E0.dip.t-dialin.net[80.145.113.224]): FTP session opened.

Nov 03 12:24:51 localhost proftpd[3816] localhost (211.251.208.1[211.251.208.1]): FTP session opened.

Ничего себе, сказал я себе… Какой-такой «session opened"? Для кого opened?! Когда closed? Какие-такие корейцы и французы у меня тут хозяйничают?!!

Прогнал вчера chkrootkit со всеми прибамбасами — ничего. Сегодня на всякий случай на работе выключил sshd и proftpd. Прихожу с лекции — комп висит, экран черный, реагирует только на большую кррасную кнопку.

Посоветуете систему переставить?

Good Luck,

UT

decvar

Совет:

Поставь OpenBSD, настрой ipfw, и НИКОГДА НЕ ВКЛЮЧАЙ КОМПЬЮТЕР!

А вообще млжно поднять систему с liveCD(не важно какого) и закрыть все входящие коннекты в iptables!

anonymous

Да, спасибо. :-) Я просмотрел логи еще раз, думаю, это просто был connect() скан от фонаря, в который я случайно попал. У меня дома стоит железная файрвол (она же router) с iptables скриптами моего собственного изготовления, а вот про работу я как-то не подумал. Ну это мы поправим. В отличии от моего старого места работы, здешние сисадмины — изумительные чайники, хотя сама сеть очень быстрая (8M/sec down and 1M/sec up ADSL дома и T1 на работе) — взрывоопасное сочетание. Чего стоит категорический запрет гонять любые сервисы на машинах (с перечислением «любых» сервисов: FTP, DHCP, DNS, POP, SMTP, Napster) и предупреждение об ужасной опасности и уязвимости Линуха с категорическим обещанием лишить пользователей Линуха всякой поддержки и совета…

Good Luck,

UT

Anarchist
Uncle Theodore
Чего стоит категорический запрет гонять любые сервисы на машинах (с перечислением «любых» сервисов: FTP, DHCP, DNS, POP, SMTP, Napster) и предупреждение об ужасной опасности и уязвимости Линуха с категорическим обещанием лишить пользователей Линуха всякой поддержки и совета…

Давно пора пиздить (кому говорю: снеси нах.. цензуру) даунов. Можно приступать ;).

По поводу сути вопроса:

1. Что за дистрибутив?

2. Насторойки сильно изменены от дефолтных (в каком режиме ставился)?

Лень — не всегда добродетель :)))

Решение (извини, если что слишком грубо):

1. ОБЯЗАТЕЛЬНО: бэкап всех ДАННЫХ и переустановка ОС с форматированием всех разделов.

2. После переустановки продумать достаточно параноидальные настройки по безопасности.

3. Своевременное наложение патчей (ИМХО лучше пожертвовать частью функциональности, меньше головной боли будет.).

ЗЫ: На домешней машине дочка рутовый пароль уже подобрала? ;)

fly4life
Anarchist
Решение (извини, если что слишком грубо):

1. ОБЯЗАТЕЛЬНО: бэкап всех ДАННЫХ и переустановка ОС с форматированием всех разделов.

2. После переустановки продумать достаточно параноидальные настройки по безопасности.

3. Своевременное наложение патчей (ИМХО лучше пожертвовать частью функциональности, меньше головной боли будет.).

ЗЫ: На домешней машине дочка рутовый пароль уже подобрала? ;)

Анархист, давно ли страдаем паранойей? ;))

Ну посканировали разишка и всё! Что тут такого?!

Если бы хакнули, то в логах записи об ’session opened' с соответствующих айпишников тоже удалили бы

Anarchist
fly4life
Анархист, давно ли страдаем паранойей? ;))

Ну посканировали разишка и всё! Что тут такого?!

Если бы хакнули, то в логах записи об ’session opened' с соответствующих айпишников тоже удалили бы

Всегда.

Может на это мозгов/опыта пока не хватило.

А единственный способ ДОСТОВЕРНОГО вычищения руткита я описал.

fly4life
Anarchist
А единственный способ ДОСТОВЕРНОГО вычищения руткита я описал.

Ндя… «бэкап всех ДАННЫХ и переустановка ОС с форматированием всех разделов» говоришь?! Так нафига данные бэкапить после того, как взлом осуществлён?! Там уже могли такого поназаписывать в эти самые данные…

Anarchist
fly4life
Ндя… «бэкап всех ДАННЫХ и переустановка ОС с форматированием всех разделов» говоришь?! Так нафига данные бэкапить после того, как взлом осуществлён?! Там уже могли такого поназаписывать в эти самые данные…

Ставится задача восстановить систему и спасти что можно из данных.

Есть альтернативные предложения?

fly4life
Anarchist
Ставится задача восстановить систему и спасти что можно из данных.

Да не ставилась такой задачи ;)

Anarchist
Есть альтернативные предложения?

Из альтернативы: поставить для начала сниффер и смотреть есть ли из инета (и обратно) какие-нибудь левые коннекты. Если таковых не будет замечено, то не забивать себе голову ерундой, оставить всё как есть и лечиться от паранойи =).

Если, всё же, обнаружится какая-нибудь левость, и при этом тот же netstat её не покажет, то качать бинарники незатрояненного netstat’а. Искать им какой левый порт открыт, вычислять этим же самым нетстатом какое приложение маппит этот порт, удалить это приложение… (примерно так).

Впринципе, можно и твой способ применить, НО! Не нужно бэкапить все данные! Бэкапить только критически важные данные…

anonymous
Anarchist
1. Что за дистрибутив?

Slackware 9.0

2. Насторойки сильно изменены от дефолтных (в каком режиме ставился)?

Очень сильно. Переставленное ядро с множеством патчей и изменениями в Makefile, сильно переписанные сетевые скрипты, переконфигурированы основные сервера, новый компилятор.

Секьюрити патчи, правда, все на месте, это строго…

Решение (извини, если что слишком грубо):

1. ОБЯЗАТЕЛЬНО: бэкап всех ДАННЫХ и переустановка ОС с форматированием всех разделов.

2. После переустановки продумать достаточно параноидальные настройки по безопасности.

3. Своевременное наложение патчей (ИМХО лучше пожертвовать частью функциональности, меньше головной боли будет.).

В общем да, я давно уже хотел поставить 9.1 и изменить структуру диска. Мне, правда, придется переносить большую базу данных с оценками моих студентов и информацией по курсам, чего я никогда не делал. Если база погибнет, мне тож не жить… :-)

Распечатать ее на бумаге, что ли, на всякий пожарный…

ЗЫ: На домешней машине дочка рутовый пароль уже подобрала? ;)

Домашних машин четыре (не считая лаптопа), одна — в полном распоряжении дочери, одна у жены, одна — раутер (старый второй пень с маленьким диском, собранный практически из запчастей), одна — файловый сервер, фринетовая и интернетовая нода, и еще так по мелочи… Дочь (я думаю) не знает паролей на мой лаптоп, но строго говоря, они ей и не нужны, все остальные пароли ей были сообщены, так как могут понадобиться.

Спасибо за помощь,

Good Luck,

UT

anonymous
fly4life
Из альтернативы: поставить для начала сниффер и смотреть есть ли из инета (и обратно) какие-нибудь левые коннекты. Если таковых не будет замечено, то не забивать себе голову ерундой, оставить всё как есть и лечиться от паранойи =).

Если, всё же, обнаружится какая-нибудь левость, и при этом тот же netstat её не покажет, то качать бинарники незатрояненного netstat’а. Искать им какой левый порт открыт, вычислять этим же самым нетстатом какое приложение маппит этот порт, удалить это приложение… (примерно так).

Впринципе, можно и твой способ применить, НО! Не нужно бэкапить все данные! Бэкапить только критически важные данные…

Сниффера на раутере ничего необычного не показывают. И порты открыты только те, которым следует быть таковыми. Chkrootkit свеженький опять-же молчит. nmap и lsof -i тож ничего интересного не показывают… Если б эта зараза не зависла давеча, я б и не ерепенился. К тому ж непонятно, кому понадобилось вскрывать машину с университетским IP?..

Good Luck,

UT

fly4life
Uncle Theodore
Сниффера на раутере ничего необычного не показывают. И порты открыты только те, которым следует быть таковыми. Chkrootkit свеженький опять-же молчит. nmap и lsof -i тож ничего интересного не показывают… Если б эта зараза не зависла давеча, я б и не ерепенился. К тому ж непонятно, кому понадобилось вскрывать машину с университетским IP?..

Good Luck,

UT

UT, говорю ж не забивай голову ерундой! ;).

Ну мало ли из-за чего мог повиснуть компьютер?!. Природная анамалия, блин… По иронии судьбы, совпавшая со странными записями в твоих логах. =)

Master
fly4life
Природная анамалия, блин…

Еще скажи, сильная солнечная активность была в тот день (с) BOFH

Anarchist
fly4life
то не забивать себе голову ерундой, оставить всё как есть и лечиться от паранойи =).

Как в том анекдоте:

У психиатра спрашивают:

- Как поживает Ваш пациент?

- Который?

- Да тот, кого Вы от паранойи лечили.

- А, этот… Были достигнуты некоторые успехи, но, увы, я не успел закончить курс лечения.

- Почему?

- Очередное покушение увенчалось успехом.

Так что: параной много не бывает. Запомните это.