abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 21:32 | Nasazení Linuxu

Canonical představuje nejnovější verzi chytré helmy DAQRI s Ubuntu pro rozšířenou realitu. K vidění bude příští týden v Barceloně na veletrhu Mobile World Congress 2017.

Ladislav Hagara | Komentářů: 0
včera 21:31 | Pozvánky

Pro zájemce o hlubší znalosti fungování operačních systémů připravila MFF UK nový předmět Pokročilé operační systémy, v rámci něhož se vystřídají přednášející nejen z řad pracovníků fakulty, ale dorazí také odborníci ze společností AVAST, Oracle, Red Hat a SUSE. Tento předmět volně navazuje na kurz Operační systémy ze zimního semestru, ale pokud máte praktické zkušenosti odjinud (například z přispívání do jádra Linuxu) a chcete si

… více »
Martin Děcký | Komentářů: 0
včera 21:30 | Pozvánky

Czech JBoss User Group Vás srdečně zve na setkání JBUG v Brně, které se koná ve středu 1. března 2017 v prostorách Fakulty Informatiky Masarykovy Univerzity v místnosti A318 od 18:00. Přednáší Tomáš Remeš a Matěj Novotný na téma CDI 2.0 - New and Noteworthy. Více informací na Facebooku a na Twitteru #jbugcz.

mjedlick | Komentářů: 0
20.2. 23:45 | Zajímavý software

Na blogu Qt bylo představeno Qt 3D Studio. Jedná se o produkt dosud známý pod názvem NVIDIA DRIVE™ Design Studio. NVIDIA jej věnovala Qt. Jedná se o několik set tisíc řádků zdrojového kódu. Qt 3D Studio bude stejně jako Qt k dispozici jak pod open source, tak pod komerční licencí. Ukázka práce s Qt 3D Studiem na YouTube.

Ladislav Hagara | Komentářů: 10
20.2. 17:50 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice slaví 5 let od svého oficiálního vzniku. Nadace byla představena 28. září 2010. Formálně byla založena ale až 17. února 2012.

Ladislav Hagara | Komentářů: 0
20.2. 12:50 | Komunita

Mozilla.cz informuje, že dosud experimentální funkce Page Shot z programu Firefox Test Pilot (zprávička) se stane součástí Firefoxu. Page Shot je nástroj pro vytváření snímků webových stránek. Umí výběr oblasti, prvku stránky (např. odstavce), nebo uložení snímku celé stránky. Snímky lze ukládat na disk nebo nahrávat na server Mozilly. Nedávno bylo oznámeno, že se součástí Firefoxu stane Activity Stream.

Ladislav Hagara | Komentářů: 31
20.2. 04:10 | Nová verze

Po 10 týdnech vývoje od vydání Linuxu 4.9 (zprávička) oznámil Linus Torvalds, mj. již 20 let žijící v USA, vydání Linuxu 4.10 (LKML). Přehled nových vlastností a vylepšení například na Kernel Newbies a v Jaderných novinách (1, 2 a 3). Kódové jméno Linuxu 4.10 je Fearless Coyote.

Ladislav Hagara | Komentářů: 22
19.2. 15:55 | Zajímavý projekt

Vyzkoušet si příkazy a vyřešit několik úkolů lze na stránkách Commandline Challenge (CMD Challenge). Úkoly lze řešit různými způsoby, důležitý je výsledek. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 18
18.2. 17:35 | Bezpečnostní upozornění

Německá Bundesnetzagentur (obdoba českého ČTU) zakázala na německém území prodej panenky Cayla kvůli „špionáži“ dětí. Tato elektronická hračka obsahuje mikrofon, reproduktor a kameru a bezdrátové komunikační rozhraní, pomocí kterého se hračka připojuje na servery výrobce. Takovýmto způsobem může hračka pomocí umělé inteligence „odpovídat“ na dotazy dítěte. Hlavní problém bude ale asi někde jinde, podle prvotních zpráv může

… více »
Petr Tomášek | Komentářů: 34
17.2. 15:30 | Bezpečnostní upozornění

CSIRT.CZ upozorňuje, že bezpečnostní experti objevili nový typ malwaru, jenž cílí na open source e-commerce platformu Magento. Malware je zajímavý tím, že se jedná o první svého druhu, jehož kód zůstává skrytý v SQL databázi zasaženého e-shopu. Škodlivý kód je volán pomocí tzv. SQL trigerru, který je spouštěn při každém vytvoření objednávky v systému.

Ladislav Hagara | Komentářů: 6
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (72%)
 (3%)
 (10%)
Celkem 679 hlasů
 Komentářů: 61, poslední včera 13:06
Rozcestník

Dotaz: hacknuty server

10.2.2010 12:20 vsivak
hacknuty server
Přečteno: 1038×
Ahoj,

hacknuli mi server. Prosel jsem to antivirem a mam kompletne zavirovanou slozku /usr/bin/ soubory jako find, dir atp. maji divnou velikost, vlastni je uzivatel 122 ktery neexistuje. Antivirak to identifikoval jako nejakeho trojana ELF-Malware cosi. Jelikoz pouzivam vice serveru s danou verzi gentoo chtel jsem zavirovane programy prekopirovat originalnimi, ale z nejakeho duvodu to nejde. Kdyz se prihlasim jako root a snazim se soubor odebrat pise mi operation not permitted. Kdyz se pokousim zmenit vlastnika, nebo prava pise mi totez. Nabootoval jsem z live CD primountoval disky a pri pokusu smazat zavirovane soubory mi pise zase operation not permitted. I kdyz jsem prihlsen jako root z bootovaciho CD tak s nima nemuzu delat vubec nic. Co s tim?

Prosim poradte.

Odpovědi

10.2.2010 12:29 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: hacknuty server
Jako první (k těm nepřepsatelným souborům) bych zkusil lsattr soubor, jestli nemá nastaven immutable (nebo jak se to jmenuje) atribut. Pokud ano, chattr -i soubor.
I cesta může být cíl.
10.2.2010 13:10 vsivak
Rozbalit Rozbalit vše Re: hacknuty server
Ahoj,

zkousel jsem lsattr a soubor vypada zcela normalne.
10.2.2010 14:57 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: hacknuty server
Jen pro jistotu, z os s jádrem hacknutého serveru nebo z LiveCD?
I cesta může být cíl.
10.2.2010 12:39 CIJOML
Rozbalit Rozbalit vše Re: hacknuty server
Jestli te neco/nekdo hacknul server, je to VZDY na kompletni reinstall - jinak opravdu nemuzes tusit kde vsude je hacker zadratovany (pripadne upravy v jadru abys nevidel urcite soubory etc.)
10.2.2010 14:53 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: hacknuty server
+1, čemukoliv kompromitovanému nevěřit.
I cesta může být cíl.
10.2.2010 14:58 jirka
Rozbalit Rozbalit vše Re: hacknuty server
Je otazka, zda se VZDY vyplati komletni reinstal. Pri rozumne sprave je rychlejsi vymenit jadro, zkontrolovat, zda neni nejaky rozdil proti distrbucnim souborum, a zkontrolovat jestli dotycny neudelal nejake zmeny v konfiguraci.

To vse po predchozi analyze kudy na server utocnik pronikl a pripadnem nastaveni monitorovani te diry, aby si mohl napsat patch.
10.2.2010 16:56 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: hacknuty server
Odpověď na tu otázku je ano.
In Ada the typical infinite loop would normally be terminated by detonation.
10.2.2010 17:32 Ash | skóre: 53
Rozbalit Rozbalit vše Re: hacknuty server
To co popisujete ale znamená:

Vyměnit jádro = reinstall jádra (ponecháte akorát .config který zkontrolujete se zálohou).

Zkontrolovat rozdíl oproti distribučíním souborům == potřebujete všechny distribuční soubory a udělat cmp, což je stejně funkční jako je nahradit (přeinstalovat).

Zkontrolovat konfiguraci == potřebujete kontrolu vůči záloze konfigurace a udělat nad soubory diff (což je stejně funkční jako je zálohou přeinstalovat).

Suma sumárum, popsal jste nám, jak se udělá reinastalace (= všechono se buď vymění, nebo alespoň porovná), jen jinými slovy.
10.2.2010 18:25 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: hacknuty server
A u gentoo bude asi nemožné zkontrolovat rozdíly v binárkách...
I cesta může být cíl.
11.2.2010 02:02 Vantomas | skóre: 24 | Praha
Rozbalit Rozbalit vše Re: hacknuty server

Neni mozny, u Gentoo je tohle naprosto nemozny, vzdyt je to vsechno ze zdrojaku, nejdou zjistit rozdily v binarkach... Nevim no, da se zjistit md5sum a datum vytvoreni(?)...

vantomas@vendula ~ $ cat /var/db/pkg/sys-apps/baselayout-2.0.1/CONTENTS dir /etc dir /etc/env.d obj /etc/env.d/00basic b38e1b1c583adc41e92ef726b6dbada5 1188143820 obj /etc/env.d/04multilib 7dfcac63e4506335c6feb69a19aeedfb 1246109572 obj /etc/filesystems e237f44197dbbc89c2da71706b521648 1175771922 obj /etc/gentoo-release aaf4ac8973557f613b630993f708459d 1246109572 obj /etc/hosts 55f31266cf1f992ea7649bb81570f9e6 1175771922 obj /etc/inputrc e1f71f20ad93777f34fa7146f9d7835b 1206233742 obj /etc/issue 4d28e6c41594f3385b6fa532621f107b 1175771922 obj /etc/issue.logo 7c9f10a730015b98a2b7df8d9a9fe0f2 1175771922 dir /etc/modprobe.d obj /etc/modprobe.d/aliases.conf cefd8bf05e4733b74d5c2ba40c443222 1241626488 obj /etc/modprobe.d/i386.conf f9e3eac60200d41dd5569eeabb4eddff 1241626488 obj /etc/networks 4da5de95a5ef3f5882d8215365168b5a 1192183744 obj /etc/profile 73fac3dda327a6c0635fd118a334c45e 1208269810 obj /etc/protocols 770ee14b933e1e0cc76aebf813528b58 1206233742 obj /etc/services 458d991cc14a4a70325bc404389eef0f 1206233742 obj /etc/shells be4256fd5da19538f5b6f75d5893a7c4 1175771922 obj /etc/sysctl.conf cac1af5eb2a66b67ec21c44d842cbab7 1179240224 dir /usr dir /usr/share dir /usr/share/baselayout obj /usr/share/baselayout/fstab 735201d735894240a59316e1244aa43b 1224987732 obj /usr/share/baselayout/group fde304597e24920c5e040f6aa644e02d 1195027082 obj /usr/share/baselayout/issue.devfix 36e8d9c482855ff6d8212659a67732d4 1184434591 obj /usr/share/baselayout/passwd 07f828a357933abd35e1dc5db2bdb056 1206232559 obj /usr/share/baselayout/shadow 7536b55bc58e0b327a1900cb24013f99 1175771922 dir /usr/share/doc dir /usr/share/doc/baselayout-2.0.1 obj /usr/share/doc/baselayout-2.0.1/ChangeLog.bz2 9b4e9a6e607cac09dd8319de285b2656 1246109572

10.2.2010 23:26 jirka
Rozbalit Rozbalit vše Re: hacknuty server
Na systemu s rpm a zalohovanim do version systemu delam vyse popsane na 5 prikazu :)

Delam to pravidelne, nejen, abych zjistil, jestli server neni hackly, ale take, abych videl, kdo z dalsich spoluadminu dela na serverech bordel a nepostupuje podle dohodnutych pravidel.

Cele to zabere par minut.
10.2.2010 23:41 Ash | skóre: 53
Rozbalit Rozbalit vše Re: hacknuty server
A co my s tím jako?

Když jsem si před časem rozbil filesystém (pár desítek souborů náhodně na disku obsahovaly místo původních dat bloky nul), tak jsem si také napsal asi tři skripty, z nichž jeden mi udělal diff na na konfiguraci, druhý cmp na multimédia, no a nedatové věci (systém jako takový) jsem re-emergnul třetím skriptem, což se skoro povedlo, nebýt rozbyté /var/db/pkg :)

Prakticky to ovšem znamenalo kompletní obnovu systému, protože všechny soubory na disku jsem buď nahradil ze zálohy, nebo nechal, ale až poté, co jsem věděl, že jsou shodné se zálohou, a nebo přeinstaloval z portage. Tedy šlo vlastně o reinstalaci, nezůstal kámen na kameni.

Jestli celý ten monstrproces bude spuštěn pěti příkazy, nebo padesáti, nebo jedním z cronu, to se mi zdá nerelevantní. Ale možná v tom nějaký rozdíl vidíte. Podle mne je rozdíl, když vám nějaký admin někam nainstaluje něco co nemá, a když se vám vymění půlka systému. V tom druhém případě prostě kontrolou či přeinstalací strávíte víc času, jak strojového, tak lidského.
10.2.2010 12:56 no yo
Rozbalit Rozbalit vše Re: hacknuty server
rofl
10.2.2010 13:47 kuda
Rozbalit Rozbalit vše Re: hacknuty server
zdravim, mohl byste, prosim, zminit, co na uvedenem stroji bezi (bezelo) za sluzby a jaky porty mel otevreny/prip. iptables -L -v? esi to budete prekopavat, chtelo by to vedet, kde je dira, aby se Vam to nestalo znova + by to mohlo pomoct ostatnim ... diky k.
10.2.2010 17:33 Ash | skóre: 53
Rozbalit Rozbalit vše Re: hacknuty server
nejlépe iptables -L -v z doby před hacknutí, žejo :D
10.2.2010 18:55 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: hacknuty server
V nastavení firewallu ten problém asi nebude – pokud by byl špatně nastaven, stejně to znamená, že tam běžela nějaká služba, kterou buď není možné nakonfigurovat, aby naslouchala jen na té správné IP adrese a portu, nebo je ta služba děravá. Takže problém by byl hlavně v té službě, bránit přístupu k ní na firewallu je až sekundární ochrana.
10.2.2010 15:08 jirkamailto | skóre: 31
Rozbalit Rozbalit vše Re: hacknuty server
Jak uz tady nekdo psal, kompletni reinstall. Je to nutnost, muzou byt prepsane systemove soubory a tak tam utocnik muze mit backdoor. Sam jsem to resil a reinstall byl jednoznacny. Format, cista instalace atd.
otasomil avatar 10.2.2010 15:25 otasomil | skóre: 35 | blog: puppylinux
Rozbalit Rozbalit vše Re: hacknuty server

>>>Ahoj, hacknuli mi server.

To udelat me, tak ode mne dostanou lahvinku.

K čemu hudba, která nevede k extázi... Stop MDMA !!!
Max avatar 10.2.2010 15:38 Max | skóre: 64 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: hacknuty server
To udělat mně, tak si asi otluču hlavu o zeď :).
Zdar Max
PS: však jednou zapomeneš včas updatovat :).
Měl jsem sen ... :(
otasomil avatar 10.2.2010 16:01 otasomil | skóre: 35 | blog: puppylinux
Rozbalit Rozbalit vše Re: hacknuty server

>>>PS: však jednou zapomeneš včas updatovat :).

Ja neupdatuju.

Linux puppypc 2.6.25.16 #1 Tue Aug 26 10:45:53 GMT-8 2008 i586 GNU/Linux

K čemu hudba, která nevede k extázi... Stop MDMA !!!
10.2.2010 16:31 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: hacknuty server
Už zbývá jen IP a můžeme se pustit do díla :-)
10.2.2010 16:52 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: hacknuty server
Kuk do jeho patičky...
Quando omni flunkus moritati
otasomil avatar 10.2.2010 17:24 otasomil | skóre: 35 | blog: puppylinux
Rozbalit Rozbalit vše Re: hacknuty server

Tak at to date. Lahvinka bude Vase.

IP viz paticka.

K čemu hudba, která nevede k extázi... Stop MDMA !!!
10.2.2010 22:33 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: hacknuty server
No já to nedám, to ti můžu říct rovnou :-) Mít na to rok, možná, ale to by pak dal každý...
10.2.2010 16:40 Zdenek 'Mst. Spider' Sedlak | skóre: 37 | blog: xMstSpider
Rozbalit Rozbalit vše Re: hacknuty server
Prosel jsem to antivirem a mam kompletne zavirovanou slozku /usr/bin/ soubory jako find, dir atp. maji divnou velikost, vlastni je uzivatel 122 ktery neexistuje. Antivirak to identifikoval jako nejakeho trojana ELF-Malware cosi.

Musel jsem to precist dvakrat, abych se ujistil, ze se nejedna o Windows... Antivir? To uz je na tom Linux tak spatne, ze po hacku se musi pouzit antivir??
10.2.2010 17:01 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: hacknuty server
Předpokládám, že použil některý z detektorů rootkitů.
10.2.2010 17:06 Zdenek 'Mst. Spider' Sedlak | skóre: 37 | blog: xMstSpider
Rozbalit Rozbalit vše Re: hacknuty server
To spis...
10.2.2010 21:48 vsivak
Rozbalit Rozbalit vše Re: hacknuty server
Ne,

nabootoval jsem z live cd, pripojil k serveru notebook a proscannoval disk avastem.
10.2.2010 17:02 rob
Rozbalit Rozbalit vše Re: hacknuty server
lsattr /sbin/* /bin/* /lib/* /usr/sbin/* /usr/bin/* | \ grep -v "\-\-\-\-\-\-\-\-\-\-\-\-\-" | grep -v "consolefonts"

Pokud vám to vrátí nějaký výsledek, např.: –s-i–a—— /usr/bin/top s vysokou pravděpodobností je konkrétní soubor kompromitován.
10.2.2010 21:39 vsivak
Rozbalit Rozbalit vše Re: hacknuty server
Ahoj,

je tam spousty takovych souboru. Vyradil jsem sia atributy, dane napadene smazal a nahradil originaly ze zalohy. Jadro jsem prekompiloval - make clean && make -j2 && make modules_install a prekopiroval jsem bzImage. Zkontroloval jsem i konfiguraky v /etc. Existuje nejaky jednoduchy zpusob jak prekompilovat veskery pozdeji doninstalovany software jako napr mysql, samba, lighttpd, php, postfix, dovecot, clamav, psad, ...

Vim taky jak se dostali dovnitr. Prosel jsem logy 4 dny dopredu pred padem serveru a nabourali to pres roundcube hovada. Konkretne pres soubor html2text.php - bylo tam hodne pozadavku na dany soubor, tak jsem pogooglil a zjistil, ze skript obsahuje kritickou chybu, ktera umozni utocnikovi zmocnit se korene domeny a spoustet tam svoje skripty. Potom se dostali pres celkem chatrne zabezpeceny jail, vyradili psad a zacali dovnitr instalovat svoje sracky. Utok byl veden z ip adresy 65.39.172.207.

Jak mam postupovat, ma smysl to hlasit?
AraxoN avatar 10.2.2010 22:04 AraxoN | skóre: 45 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: hacknuty server
Ak si to inštaloval cez emerge, tak všetko prekompiluješ cez emerge -eav world

K tomu či má zmysel to hlásiť - IMHO nie. Nezabezpečených wifi je milión všade kam sa pohneš, takže ak má hacker trošku filipa, tak to nerobil cez svoje internetové pripojenie.
A fine is a tax for doing wrong. A tax is a fine for doing well.
11.2.2010 17:09 Martin H. | skóre: 27 | blog: linservis | Brno
Rozbalit Rozbalit vše Re: hacknuty server
Hmm, asi taky hacknutý server s OS Linux ... je tam Web, SMTP, POP3 a IMAP (Dovecot). Takže jsi byl další v řadě ...

Stao se mi něco podobného, přes ukradená hesla z TC klienta se přes FTP snažili ... díky mírné paranoie se daleko nedostali ... naštěstí pro mě ... a skripty mám k dispozici (protože je už nějak neměli právo smazat :-)

Doporučuji reinstalaci, jak bylo výše ... pak máš fakt jistotu.

Původní hack disk si nech a klidně si ho přimountuj a vytahej z něj conf soubory...
--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---
develo avatar 10.2.2010 23:38 develo | skóre: 8
Rozbalit Rozbalit vše Re: hacknuty server
Nahlas to, kdyz to nebude proxy server tak to bude s nejvetsi pravdepodobnosti pocitac treba ve skole nebo v kavarne a kdyz to ne tak pc utocnika, predstirani ip adresy je taky moznost, za oznameni skoro nic nedas ;-) Sry za diakritiku ale nechce se mi na live cdcku porad nastavovat ceskou klavesnici... :)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.