abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 17:00 | Nová verze

Byl vydán Docker 1.13. Přehled novinek na YouTube a v poznámkách k vydání na GitHubu. Docker umožňuje běh aplikací v softwarových kontejnerech (Wikipedia).

Ladislav Hagara | Komentářů: 3
včera 15:51 | Komunita

Mozilla.cz informuje, že nástroje pro webové vývojáře se možná oddělí od Firefoxu a stanou doplňkem. Nástroje pro webové vývojáře prošly velkým přepisem a tým, který se stará o jejich vývoj, by uvítal možnost jejich častějších aktualizacích nezávisle na vydávání nových verzí Firefoxu.

Ladislav Hagara | Komentářů: 5
včera 07:00 | Humor

Čtenářům AbcLinuxu vše nejlepší k dnešnímu Dni zvýšení povědomí o tučňácích (Penguin Awareness Day).

Ladislav Hagara | Komentářů: 0
včera 06:00 | Komunita

Bylo spuštěno hlasování o přednáškách a workshopech pro letošní InstallFest, jenž proběhne o víkendu 4. a 5. března v Praze. Současně byla oznámena změna místa. InstallFest se letos vrací zpět na Karlovo náměstí do budovy E.

Ladislav Hagara | Komentářů: 0
včera 02:48 | Komunita

Greg Kroah-Hartman potvrdil, že Linux 4.9 je jádrem s prodlouženou upstream podporou (LTS, Long Term Support). Podpora je plánována do ledna 2019. Aktuální jádra s prodlouženou podporou jsou tedy 3.2, 3.4, 3.10, 3.12, 3.16, 3.18, 4.1, 4.4 a 4.9.

Ladislav Hagara | Komentářů: 0
včera 00:11 | Zajímavý článek

Výrobce síťových prvků, společnost Netgear, spustila nový program, který slibuje vývojářům, expertům, ale i běžným uživatelům vyplacení finanční odměny za nalezení bezpečnostních chyby v jejich produktech. Za nalezení zranitelnosti v hardware, API nebo mobilní aplikaci nabízí odměnu od 150 do 15 tisíc dolarů (dle závažnosti).

Michal Makovec | Komentářů: 0
včera 00:08 | Pozvánky

V sobotu 18. 2. se v Praze v prostorách VŠE uskuteční od 9:30 již 4. ročník největší české konference o open source redakčním systému WordPress (WP) - WordCamp Praha 2017.

… více »
smíťa | Komentářů: 0
19.1. 23:58 | Komunita

Kryptoměnová komunita zahájila nový rok spuštěním projektu Blockchain.cz, jehož cílem je kolektivně nalézt ideální překlad pro čím dál frekventovanější slovo „blockchain“. Přispět návrhem může kdokoli. Sběr bude trvat až do konce září 2017. Následně bude probíhat dvoutýdenní veřejné hlasování, které bude zakončeno výběrem toho nejlepšího návrhu.

xHire | Komentářů: 9
19.1. 15:55 | Bezpečnostní upozornění

Společnost Oracle vydala čtvrtletní bezpečnostní aktualizaci svých softwarových produktů (CPU, Critical Patch Update). Opraveno je celkově 270 bezpečnostních chyb. V Oracle Java SE je například opraveno 17 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 16 z nich. V Oracle MySQL je opraveno 27 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 5 z nich.

Ladislav Hagara | Komentářů: 0
19.1. 02:48 | Nová verze

Po půl roce od vydání verze 9.0 (zprávička) byla vydána verze 10.0 zvukového serveru PulseAudio. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 36
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (2%)
 (73%)
 (3%)
 (11%)
Celkem 350 hlasů
 Komentářů: 25, poslední dnes 13:34
    Rozcestník
    Reklama

    Dotaz: CO je to za soubor a kde se vzal?

    9.3.2011 16:24 Markus
    CO je to za soubor a kde se vzal?
    Přečteno: 1053×
    Ahoj, nainstaloval jsem server, jeste jsem ani nic nenastavoval a po přihlášení přes ssh se dívam do složky /root a nasel jsem tam tento soubor: W2Ksp3.exe

    Neví někdo co by to mohlo byt?

    Děkuji

    Řešení dotazu:


    Odpovědi

    Pavel Stárek avatar 9.3.2011 16:29 Pavel Stárek | skóre: 43 | blog: Tady bloguju já :-) | Kolín
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Že by service pack 3 pro Windows 2000? Co řekne příkaz file W2Ksp3.exe? Máte na serveru antivir clamav a můžete s ním ten soubor otestovat?
    Kdo chce, hledá způsob; kdo nechce, hledá důvod.
    9.3.2011 17:37 Markus
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    clamav nemam :(
    9.3.2011 17:40 Markus
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    file vraci

    file /root/W2Ksp3.exe /root/W2Ksp3.exe: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
    Řešení 1× (tuxmartin)
    Heron avatar 9.3.2011 16:36 Heron | skóre: 50 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Je ten server připojený k internetu, povolené ssh s přihlašováním pomocí hesly a s jednoduchým heslem roota? :-)

    Pokud je tomu tak, doporučuji server reinstalovat v bezpečnějším prostředí (odpojený od netu), případně již při instalaci nastavit neprolomitelné ssh heslo.

    Soubor stejného jména se mi objevil na pokusném čerstvě nainstalovaném serveru s heslem roota 1234. Klasická Windows binárka, ale SP to rozhodně nebyl. Prostě si z toho někdo udělal zombie (cíl testu byl zjistit, za jak dlouho se tam někdo dostane (3 dny) a co tam udělá (nahrál soubor a scanoval okolí)).
    9.3.2011 16:36 lejo
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Win 2000 service pack 3
    9.3.2011 17:22 NdrU | skóre: 10
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Tady je video záznam "útoku" na nějaký honeypot, okolo 1:15 tam dotyčný "hacker" stáhne přesně tenhle soubor.
    9.3.2011 17:30 Matlák
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    přesně tak, v diskusi je tuším hláška že to útočníci (v tomhle případě to snad musel být robot) používají k testování šířky pásma linky..
    Jendа avatar 9.3.2011 17:33 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    v tomhle případě to snad musel být robot
    Jestli narážíš na to video, tak robot nedělá překlepy.
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    pavlix avatar 10.3.2011 02:13 pavlix | skóre: 53 | blog: pavlix
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Umělá inteligence?
    Gentoo – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
    9.3.2011 20:14 pocitujlasku | skóre: 15
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Ale na tom zazname on stahuje priamo z download.microsoft.com, a ma 123 MB
    9.3.2011 17:27 Markus
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Děkuji za tipy, kde prosím najdu log ssh? urcite to tam bude, ne?
    Jendа avatar 9.3.2011 17:32 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Jestli měl roota (což asi měl, když mohl zapisovat do /root/), systémuuž nemůžeš věřit. Log může být podvržený či promazaný. Najdi díru, přeinstaluj, zabezpeč.
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    9.3.2011 18:13 Sten
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Protože je to dle popisu nově nainstalovaný server, doporučuji jej spíše kompletně přeinstalovat.
    9.3.2011 18:31 Markus
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    tak jsem prosel /var/log/auth.log
    
    a zjistil jsem ze
    
    Prvni failed
    R:69: Mar  8 05:14:07 master sshd[1448]: Failed password for root from 1.202.180.125 port 52540 ssh2
    
    Posledni failed
    R:20847: Mar  9 15:21:13 master sshd[14742]: Failed password for invalid user putty from 109.169.46.134 port 42604 ssh2
    Jendа avatar 9.3.2011 18:54 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    To nic neznamená, takových pokusů má každý server dostupný z Internetu hromadu. Spíš bych se zaměřil na to, jak se tam ten cracker dostal - neměl jsi slabé heslo na roota?
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    9.3.2011 19:31 l4m4
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Nebo vůbec povolené přihlašování na roota heslem.
    Jendа avatar 9.3.2011 20:21 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Ale tak heslo jako co2EOHyKH0 asi nikdo necrackne…
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    9.3.2011 20:37 Markus
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    zalezi co je slabe heslo, je pravda ze jsem mel heslo na root

    - 10 znaků - vsechny znaky malá pismena - znaky dohromady tvorilo slovo

    10.3.2011 13:08 Sten
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Ano, toto je slabé heslo. Slovníkový útok takové heslo za chvíli odhalí.

    Navíc doporučuji zakázat přihlašování na roota, přinejmenším heslem (tj. používat sudo nebo klíče).
    9.3.2011 20:38 Markus
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    zalezi co je slabe heslo, je pravda ze jsem mel heslo na root
    - 10 znaků
    - vsechny znaky malá pismena
    - znaky dohromady tvorilo slovo
    Nicky726 avatar 9.3.2011 23:37 Nicky726 | skóre: 56 | blog: Nicky726
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    To je slabé heslo.
    Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
    12.3.2011 23:39 lertimir | skóre: 59 | blog: Par_slov
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    to je superslabé heslo. Na roota kdekoliv, kromě testovacích systému a těch, kde je mi heknutí jedno, považuji za vhodné pouze náhodně generovaná hesla. Hesla mám uložená v zašifrované KeePass klíčence a nosím si je na flash s sebou. A pro standardní opakovanou komunikaci se stejného systému ssh klíče, A navíc u systémů na nich mi záleží mámm root login zakázán a uvedenou bezpečnostní politiku používám pro uživatele. Je to prostě vždy stejné. Vyšší bezpečnost je vyšší opruz, a záleží jestli to uživateli (či správci) za to stojí.
    Jendа avatar 12.3.2011 23:51 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    A navíc u systémů na nich mi záleží mámm root login zakázán a uvedenou bezpečnostní politiku používám pro uživatele.
    Protože jeden flame nestačí!
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    13.3.2011 00:24 lertimir | skóre: 59 | blog: Par_slov
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Nechci vyvolávat flame, Je patrně dost zdůvodněno, že pokud je na rootu opravdu silné heslo, tak povolení root loginu není bezpečnostní riziko. Ale na druhou stranu při bezpečnosti jde i o vnitřní pocit bezpečnosti. Neříkal jsem zákaz root loginu jako univerzální pravidlo, ale jako můj přístup. Jako přistup, kdy pak mám pocit, že jsem pro bezpečnost udělal, co jsem mohl. Stejně tak, jako když odcházím z bytu jako poslední a když si nejsem stoprocentně jist, že jsem zamknul dveře i závoru na dveřích, tak se vrátím a zkontroluji si to. Možná jsem paranoitní, no a co.
    9.3.2011 21:21 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    IMHO jsou v tomto případě zajímavé spíš úspěšné pokusy o přihlášení než ty neúspěšné. Pokud tedy v logu jsou.
    9.3.2011 23:09 Markus
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Ano jsou, přikládám jeden přístup asi z 6 úspěšných :(
    Nevím přesně co dělal ale je vidět že vytvářel nějake skupiny, uživatele a měnil hesla. Více to spíš řekne odborníkum..
    
    Mar  8 06:11:48 master sshd[2426]: Accepted password for root from 210.75.213.253 port 44971 ssh2
    Mar  8 06:11:48 master sshd[2426]: pam_unix(sshd:session): session opened for user root by (uid=0)
    Mar  8 06:11:49 master sshd[2426]: Received disconnect from 210.75.213.253: 11: Bye Bye
    Mar  8 06:11:49 master sshd[2426]: pam_unix(sshd:session): session closed for user root
    Mar  8 06:18:58 master sshd[2433]: Address 86.120.215.126 maps to 86-120-215-126.rdsnet.ro, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
    Mar  8 06:19:00 master sshd[2433]: Accepted password for root from 86.120.215.126 port 3966 ssh2
    Mar  8 06:19:00 master sshd[2433]: pam_unix(sshd:session): session opened for user root by (uid=0)
    Mar  8 06:19:59 master useradd[2453]: new group: name=angell, GID=1001
    Mar  8 06:19:59 master useradd[2453]: new user: name=angell, UID=0, GID=1001, home=/usr/angell/, shell=/bin/bash
    Mar  8 06:20:11 master useradd[2458]: new group: name=cote, GID=1002
    Mar  8 06:20:11 master useradd[2458]: new user: name=cote, UID=0, GID=1002, home=/usr/cote/, shell=/bin/bash
    Mar  8 06:20:33 master passwd[2463]: pam_unix(passwd:chauthtok): password changed for cote
    Mar  8 06:21:15 master passwd[2465]: pam_unix(passwd:chauthtok): password changed for angell
    Mar  8 06:21:35 master sshd[2469]: Address 86.120.215.126 maps to 86-120-215-126.rdsnet.ro, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
    Mar  8 06:21:41 master sshd[2469]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=86.120.215.126  user=root
    Ještě by mě zajímalo, jestli je tohle trestné.. Jestli to mám nějak řešit nebo se z toho poučit aby se to již neopakovalo.

    Díky
    Jendа avatar 9.3.2011 23:25 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Accepted password for root
    Jo, takže přeinstalovat…
    Ještě by mě zajímalo, jestli je tohle trestné..
    Je (Neoprávněný přístup k počítačovému systému a nosiči informací, § 230 TrZ), můžeš zkusit napsat do Beijing Haihua Interlution Interner Co.,ltd, kterému patří ta IP adresa, určitě s tebou budou rádi spolupracovat. S největší pravděpodobností to stejně bude jenom nějaká zombie, přes kterou se ten útok vedl.
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    9.3.2011 23:57 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Podle toho logu si vytvořil dva další účty (nebo spíš jen uživatelská jména) s UID 0, tj. v podstatě jen aliasy pro roota. Pravděpodobně proto, aby se tam dostal i v případě, že heslo roota změníte. Pokud rád riskujete, můžete ty účty smazat a doufat, že to byla jediná zadní vrátka. Chcete-li mít klidný spánek, přeinstalujte systém (a nepřenášejte tam ze starého nic spustitelného).
    9.3.2011 21:54 JirkaFM | skóre: 1
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Možná blbá otázka, ale hrozí mi něco podobného na domácím počítači (CentOS 5) ?
    Jendа avatar 9.3.2011 22:12 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Ano, hrozí. Pokud budeš mít SSH se slovníkovým heslem, může být takto veselo.
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    12.3.2011 10:01 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Pokud bude mít sshd spuštěný. Pokud se k tomu domácímu počítači nepřihlašuje vzdáleně, je zbytečné mít tam vůbec sshd puštěné.
    otasomil avatar 12.3.2011 10:13 otasomil | skóre: 35 | blog: puppylinux
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?

    Jenze bez sshd se tak spatne zije.....

    K čemu hudba, která nevede k extázi... Stop MDMA !!! ...Proti čemu tady bojujeme....Poznejte sílu nového protokolu
    12.3.2011 10:20 Filip Jirsák | skóre: 66 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Jak komu. Já mám svou pracovní stanici taky nastavenou tak, že se tam sshd spouští a stanice jde zapnout přes Wake-on-LAN. Ale předpokládám, že spousta domácích uživatelů – zvlášť těch, kteří přešli z Windows – sshd nepoužívá, a ani nemají jak se na svůj počítač vzdáleně dostat (kvůli NATu).
    10.3.2011 09:15 alanos | skóre: 24 | blog: spuctum
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    No před půl rokem se mi stalo něco PODOBNEHO s tím rozdílem že pravděpodobně robot to měl vymakanější a opravdu nešlo manipulovat s soubory které tam nahrál. Ǔtočník se tam dostal přes slabé root heslo .Naštěstí to byl jen testovací server na kterém nic nebylo ale i tak mě to poučilo do budoucna že lehká hesla již nikam nedávám . Jen pro ty co by to zajímalo jsem na ten server dal heslo "aaa" aby se mi to rychleji psalo :o)- Od té doby se přihlašuji pouze přes klíče ssh a šmytec :o).
    10.3.2011 12:53 Michal Kubeček | skóre: 71 | Luštěnice
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Takže s trochou cynismu by se dalo říct, že vám ten útočník vlastně pomohl. :-)
    10.3.2011 12:58 alanos | skóre: 24 | blog: spuctum
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Mě určitě , protože do té doby jsem to bral na lehkou váhu. Pro mě to bylo ponaučení jako řemen.
    12.3.2011 23:47 lertimir | skóre: 59 | blog: Par_slov
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Pokud není možné pod rootem manipulovat ze soubory, tak tam útočník nainstaloval i rootkit. Tedy změnil knihovny operačního systémy, tak, že systémová volání už reagovala jinak. to je pak už na zcela reinstalovat.
    10.3.2011 17:47 Markus
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Jenze to se porad bavime o SSH ale co jine otevrene porty? Ty jsou nezajimave pro utocnika?

    otasomil avatar 12.3.2011 07:35 otasomil | skóre: 35 | blog: puppylinux
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?

    Jine otevrene porty tez predstavuji lakadlo napr ftp, samba na serveru.

    U SSH vypada slovnikovy utok jako dost nepravdepodobny neb spojeni je ukonceno po trech spatne zadanych heslech.

    Jestlize se jedna o windows binarku tak je to nejaky "neznaly" utocnik jemuz se podarilo prihlasit, spustit wget s URL toho souboru.

    K čemu hudba, která nevede k extázi... Stop MDMA !!! ...Proti čemu tady bojujeme....Poznejte sílu nového protokolu
    12.3.2011 10:31 Karlos
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Průnik mohl jít taky přes phpshell, pokud běží webserver, což se dostáváme k bezpečnosti webových stránek, chrootu u služeb a mnoho dalších potencionálních děr vyházenících z defaultního nastavení. Tohle je na reinstalaci, používejte fail2ban na všechny služby kde probíhá login (ssh,ftp,imap,pop,smtp,www atd), důležité porty otevřít jen pro autorizované IP na FW , určitě se hodí nainstalovat logcheck, rkhunter.
    12.3.2011 15:43 pc2005 | skóre: 32 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    ftp
    Neřekl bych, na ssh a http mě útočí každej den někdo. Ale na ftp nic. A to mám na ftp anonymní (!) připojení.
    Chuck Norris řekl babičce, že si dá jen 3 knedlíky. A dostal 3 knedlíky. | 帮帮我,我被锁在中国房
    12.3.2011 18:23 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: CO je to za soubor a kde se vzal?
    Taky tak.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.