abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
včera 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 3
včera 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
2.12. 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 22
2.12. 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 8
2.12. 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 2
2.12. 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
2.12. 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 0
2.12. 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
1.12. 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
1.12. 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 768 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: hacknuty server

10.2.2010 12:20 vsivak
hacknuty server
Přečteno: 1035×
Ahoj,

hacknuli mi server. Prosel jsem to antivirem a mam kompletne zavirovanou slozku /usr/bin/ soubory jako find, dir atp. maji divnou velikost, vlastni je uzivatel 122 ktery neexistuje. Antivirak to identifikoval jako nejakeho trojana ELF-Malware cosi. Jelikoz pouzivam vice serveru s danou verzi gentoo chtel jsem zavirovane programy prekopirovat originalnimi, ale z nejakeho duvodu to nejde. Kdyz se prihlasim jako root a snazim se soubor odebrat pise mi operation not permitted. Kdyz se pokousim zmenit vlastnika, nebo prava pise mi totez. Nabootoval jsem z live CD primountoval disky a pri pokusu smazat zavirovane soubory mi pise zase operation not permitted. I kdyz jsem prihlsen jako root z bootovaciho CD tak s nima nemuzu delat vubec nic. Co s tim?

Prosim poradte.

Odpovědi

10.2.2010 12:29 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: hacknuty server
Jako první (k těm nepřepsatelným souborům) bych zkusil lsattr soubor, jestli nemá nastaven immutable (nebo jak se to jmenuje) atribut. Pokud ano, chattr -i soubor.
I cesta může být cíl.
10.2.2010 13:10 vsivak
Rozbalit Rozbalit vše Re: hacknuty server
Ahoj,

zkousel jsem lsattr a soubor vypada zcela normalne.
10.2.2010 14:57 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: hacknuty server
Jen pro jistotu, z os s jádrem hacknutého serveru nebo z LiveCD?
I cesta může být cíl.
10.2.2010 12:39 CIJOML
Rozbalit Rozbalit vše Re: hacknuty server
Jestli te neco/nekdo hacknul server, je to VZDY na kompletni reinstall - jinak opravdu nemuzes tusit kde vsude je hacker zadratovany (pripadne upravy v jadru abys nevidel urcite soubory etc.)
10.2.2010 14:53 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: hacknuty server
+1, čemukoliv kompromitovanému nevěřit.
I cesta může být cíl.
10.2.2010 14:58 jirka
Rozbalit Rozbalit vše Re: hacknuty server
Je otazka, zda se VZDY vyplati komletni reinstal. Pri rozumne sprave je rychlejsi vymenit jadro, zkontrolovat, zda neni nejaky rozdil proti distrbucnim souborum, a zkontrolovat jestli dotycny neudelal nejake zmeny v konfiguraci.

To vse po predchozi analyze kudy na server utocnik pronikl a pripadnem nastaveni monitorovani te diry, aby si mohl napsat patch.
10.2.2010 16:56 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: hacknuty server
Odpověď na tu otázku je ano.
In Ada the typical infinite loop would normally be terminated by detonation.
10.2.2010 17:32 Ash | skóre: 53
Rozbalit Rozbalit vše Re: hacknuty server
To co popisujete ale znamená:

Vyměnit jádro = reinstall jádra (ponecháte akorát .config který zkontrolujete se zálohou).

Zkontrolovat rozdíl oproti distribučíním souborům == potřebujete všechny distribuční soubory a udělat cmp, což je stejně funkční jako je nahradit (přeinstalovat).

Zkontrolovat konfiguraci == potřebujete kontrolu vůči záloze konfigurace a udělat nad soubory diff (což je stejně funkční jako je zálohou přeinstalovat).

Suma sumárum, popsal jste nám, jak se udělá reinastalace (= všechono se buď vymění, nebo alespoň porovná), jen jinými slovy.
10.2.2010 18:25 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: hacknuty server
A u gentoo bude asi nemožné zkontrolovat rozdíly v binárkách...
I cesta může být cíl.
11.2.2010 02:02 Vantomas | skóre: 24 | Praha
Rozbalit Rozbalit vše Re: hacknuty server

Neni mozny, u Gentoo je tohle naprosto nemozny, vzdyt je to vsechno ze zdrojaku, nejdou zjistit rozdily v binarkach... Nevim no, da se zjistit md5sum a datum vytvoreni(?)...

vantomas@vendula ~ $ cat /var/db/pkg/sys-apps/baselayout-2.0.1/CONTENTS dir /etc dir /etc/env.d obj /etc/env.d/00basic b38e1b1c583adc41e92ef726b6dbada5 1188143820 obj /etc/env.d/04multilib 7dfcac63e4506335c6feb69a19aeedfb 1246109572 obj /etc/filesystems e237f44197dbbc89c2da71706b521648 1175771922 obj /etc/gentoo-release aaf4ac8973557f613b630993f708459d 1246109572 obj /etc/hosts 55f31266cf1f992ea7649bb81570f9e6 1175771922 obj /etc/inputrc e1f71f20ad93777f34fa7146f9d7835b 1206233742 obj /etc/issue 4d28e6c41594f3385b6fa532621f107b 1175771922 obj /etc/issue.logo 7c9f10a730015b98a2b7df8d9a9fe0f2 1175771922 dir /etc/modprobe.d obj /etc/modprobe.d/aliases.conf cefd8bf05e4733b74d5c2ba40c443222 1241626488 obj /etc/modprobe.d/i386.conf f9e3eac60200d41dd5569eeabb4eddff 1241626488 obj /etc/networks 4da5de95a5ef3f5882d8215365168b5a 1192183744 obj /etc/profile 73fac3dda327a6c0635fd118a334c45e 1208269810 obj /etc/protocols 770ee14b933e1e0cc76aebf813528b58 1206233742 obj /etc/services 458d991cc14a4a70325bc404389eef0f 1206233742 obj /etc/shells be4256fd5da19538f5b6f75d5893a7c4 1175771922 obj /etc/sysctl.conf cac1af5eb2a66b67ec21c44d842cbab7 1179240224 dir /usr dir /usr/share dir /usr/share/baselayout obj /usr/share/baselayout/fstab 735201d735894240a59316e1244aa43b 1224987732 obj /usr/share/baselayout/group fde304597e24920c5e040f6aa644e02d 1195027082 obj /usr/share/baselayout/issue.devfix 36e8d9c482855ff6d8212659a67732d4 1184434591 obj /usr/share/baselayout/passwd 07f828a357933abd35e1dc5db2bdb056 1206232559 obj /usr/share/baselayout/shadow 7536b55bc58e0b327a1900cb24013f99 1175771922 dir /usr/share/doc dir /usr/share/doc/baselayout-2.0.1 obj /usr/share/doc/baselayout-2.0.1/ChangeLog.bz2 9b4e9a6e607cac09dd8319de285b2656 1246109572

10.2.2010 23:26 jirka
Rozbalit Rozbalit vše Re: hacknuty server
Na systemu s rpm a zalohovanim do version systemu delam vyse popsane na 5 prikazu :)

Delam to pravidelne, nejen, abych zjistil, jestli server neni hackly, ale take, abych videl, kdo z dalsich spoluadminu dela na serverech bordel a nepostupuje podle dohodnutych pravidel.

Cele to zabere par minut.
10.2.2010 23:41 Ash | skóre: 53
Rozbalit Rozbalit vše Re: hacknuty server
A co my s tím jako?

Když jsem si před časem rozbil filesystém (pár desítek souborů náhodně na disku obsahovaly místo původních dat bloky nul), tak jsem si také napsal asi tři skripty, z nichž jeden mi udělal diff na na konfiguraci, druhý cmp na multimédia, no a nedatové věci (systém jako takový) jsem re-emergnul třetím skriptem, což se skoro povedlo, nebýt rozbyté /var/db/pkg :)

Prakticky to ovšem znamenalo kompletní obnovu systému, protože všechny soubory na disku jsem buď nahradil ze zálohy, nebo nechal, ale až poté, co jsem věděl, že jsou shodné se zálohou, a nebo přeinstaloval z portage. Tedy šlo vlastně o reinstalaci, nezůstal kámen na kameni.

Jestli celý ten monstrproces bude spuštěn pěti příkazy, nebo padesáti, nebo jedním z cronu, to se mi zdá nerelevantní. Ale možná v tom nějaký rozdíl vidíte. Podle mne je rozdíl, když vám nějaký admin někam nainstaluje něco co nemá, a když se vám vymění půlka systému. V tom druhém případě prostě kontrolou či přeinstalací strávíte víc času, jak strojového, tak lidského.
10.2.2010 12:56 no yo
Rozbalit Rozbalit vše Re: hacknuty server
rofl
10.2.2010 13:47 kuda
Rozbalit Rozbalit vše Re: hacknuty server
zdravim, mohl byste, prosim, zminit, co na uvedenem stroji bezi (bezelo) za sluzby a jaky porty mel otevreny/prip. iptables -L -v? esi to budete prekopavat, chtelo by to vedet, kde je dira, aby se Vam to nestalo znova + by to mohlo pomoct ostatnim ... diky k.
10.2.2010 17:33 Ash | skóre: 53
Rozbalit Rozbalit vše Re: hacknuty server
nejlépe iptables -L -v z doby před hacknutí, žejo :D
10.2.2010 18:55 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: hacknuty server
V nastavení firewallu ten problém asi nebude – pokud by byl špatně nastaven, stejně to znamená, že tam běžela nějaká služba, kterou buď není možné nakonfigurovat, aby naslouchala jen na té správné IP adrese a portu, nebo je ta služba děravá. Takže problém by byl hlavně v té službě, bránit přístupu k ní na firewallu je až sekundární ochrana.
10.2.2010 15:08 jirkamailto | skóre: 31
Rozbalit Rozbalit vše Re: hacknuty server
Jak uz tady nekdo psal, kompletni reinstall. Je to nutnost, muzou byt prepsane systemove soubory a tak tam utocnik muze mit backdoor. Sam jsem to resil a reinstall byl jednoznacny. Format, cista instalace atd.
otasomil avatar 10.2.2010 15:25 otasomil | skóre: 35 | blog: puppylinux
Rozbalit Rozbalit vše Re: hacknuty server

>>>Ahoj, hacknuli mi server.

To udelat me, tak ode mne dostanou lahvinku.

K čemu hudba, která nevede k extázi... Stop MDMA !!! ...Proti čemu tady bojujeme....Poznejte sílu nového protokolu
Max avatar 10.2.2010 15:38 Max | skóre: 64 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: hacknuty server
To udělat mně, tak si asi otluču hlavu o zeď :).
Zdar Max
PS: však jednou zapomeneš včas updatovat :).
Měl jsem sen ... :(
otasomil avatar 10.2.2010 16:01 otasomil | skóre: 35 | blog: puppylinux
Rozbalit Rozbalit vše Re: hacknuty server

>>>PS: však jednou zapomeneš včas updatovat :).

Ja neupdatuju.

Linux puppypc 2.6.25.16 #1 Tue Aug 26 10:45:53 GMT-8 2008 i586 GNU/Linux

K čemu hudba, která nevede k extázi... Stop MDMA !!! ...Proti čemu tady bojujeme....Poznejte sílu nového protokolu
10.2.2010 16:31 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: hacknuty server
Už zbývá jen IP a můžeme se pustit do díla :-)
10.2.2010 16:52 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: hacknuty server
Kuk do jeho patičky...
Quando omni flunkus moritati
otasomil avatar 10.2.2010 17:24 otasomil | skóre: 35 | blog: puppylinux
Rozbalit Rozbalit vše Re: hacknuty server

Tak at to date. Lahvinka bude Vase.

IP viz paticka.

K čemu hudba, která nevede k extázi... Stop MDMA !!! ...Proti čemu tady bojujeme....Poznejte sílu nového protokolu
10.2.2010 22:33 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: hacknuty server
No já to nedám, to ti můžu říct rovnou :-) Mít na to rok, možná, ale to by pak dal každý...
10.2.2010 16:40 Zdenek 'Mst. Spider' Sedlak | skóre: 37 | blog: xMstSpider
Rozbalit Rozbalit vše Re: hacknuty server
Prosel jsem to antivirem a mam kompletne zavirovanou slozku /usr/bin/ soubory jako find, dir atp. maji divnou velikost, vlastni je uzivatel 122 ktery neexistuje. Antivirak to identifikoval jako nejakeho trojana ELF-Malware cosi.

Musel jsem to precist dvakrat, abych se ujistil, ze se nejedna o Windows... Antivir? To uz je na tom Linux tak spatne, ze po hacku se musi pouzit antivir??
10.2.2010 17:01 dustin | skóre: 60 | blog: dustin
Rozbalit Rozbalit vše Re: hacknuty server
Předpokládám, že použil některý z detektorů rootkitů.
10.2.2010 17:06 Zdenek 'Mst. Spider' Sedlak | skóre: 37 | blog: xMstSpider
Rozbalit Rozbalit vše Re: hacknuty server
To spis...
10.2.2010 21:48 vsivak
Rozbalit Rozbalit vše Re: hacknuty server
Ne,

nabootoval jsem z live cd, pripojil k serveru notebook a proscannoval disk avastem.
10.2.2010 17:02 rob
Rozbalit Rozbalit vše Re: hacknuty server
lsattr /sbin/* /bin/* /lib/* /usr/sbin/* /usr/bin/* | \ grep -v "\-\-\-\-\-\-\-\-\-\-\-\-\-" | grep -v "consolefonts"

Pokud vám to vrátí nějaký výsledek, např.: –s-i–a—— /usr/bin/top s vysokou pravděpodobností je konkrétní soubor kompromitován.
10.2.2010 21:39 vsivak
Rozbalit Rozbalit vše Re: hacknuty server
Ahoj,

je tam spousty takovych souboru. Vyradil jsem sia atributy, dane napadene smazal a nahradil originaly ze zalohy. Jadro jsem prekompiloval - make clean && make -j2 && make modules_install a prekopiroval jsem bzImage. Zkontroloval jsem i konfiguraky v /etc. Existuje nejaky jednoduchy zpusob jak prekompilovat veskery pozdeji doninstalovany software jako napr mysql, samba, lighttpd, php, postfix, dovecot, clamav, psad, ...

Vim taky jak se dostali dovnitr. Prosel jsem logy 4 dny dopredu pred padem serveru a nabourali to pres roundcube hovada. Konkretne pres soubor html2text.php - bylo tam hodne pozadavku na dany soubor, tak jsem pogooglil a zjistil, ze skript obsahuje kritickou chybu, ktera umozni utocnikovi zmocnit se korene domeny a spoustet tam svoje skripty. Potom se dostali pres celkem chatrne zabezpeceny jail, vyradili psad a zacali dovnitr instalovat svoje sracky. Utok byl veden z ip adresy 65.39.172.207.

Jak mam postupovat, ma smysl to hlasit?
AraxoN avatar 10.2.2010 22:04 AraxoN | skóre: 45 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: hacknuty server
Ak si to inštaloval cez emerge, tak všetko prekompiluješ cez emerge -eav world

K tomu či má zmysel to hlásiť - IMHO nie. Nezabezpečených wifi je milión všade kam sa pohneš, takže ak má hacker trošku filipa, tak to nerobil cez svoje internetové pripojenie.
A fine is a tax for doing wrong. A tax is a fine for doing well.
11.2.2010 17:09 Martin H. | skóre: 27 | blog: linservis | Brno
Rozbalit Rozbalit vše Re: hacknuty server
Hmm, asi taky hacknutý server s OS Linux ... je tam Web, SMTP, POP3 a IMAP (Dovecot). Takže jsi byl další v řadě ...

Stao se mi něco podobného, přes ukradená hesla z TC klienta se přes FTP snažili ... díky mírné paranoie se daleko nedostali ... naštěstí pro mě ... a skripty mám k dispozici (protože je už nějak neměli právo smazat :-)

Doporučuji reinstalaci, jak bylo výše ... pak máš fakt jistotu.

Původní hack disk si nech a klidně si ho přimountuj a vytahej z něj conf soubory...
--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---
develo avatar 10.2.2010 23:38 develo | skóre: 8
Rozbalit Rozbalit vše Re: hacknuty server
Nahlas to, kdyz to nebude proxy server tak to bude s nejvetsi pravdepodobnosti pocitac treba ve skole nebo v kavarne a kdyz to ne tak pc utocnika, predstirani ip adresy je taky moznost, za oznameni skoro nic nedas ;-) Sry za diakritiku ale nechce se mi na live cdcku porad nastavovat ceskou klavesnici... :)

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.