abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Singularity, nejnovější otevřený film od Blender Studia
    dnes 17:22 | Komunita

    Singularity (YouTube) je nejnovější otevřený film od Blender Studia. Jedná se o jejich první 4K HDR film.

    Ladislav Hagara | Komentářů: 0
    Vyšla hra Život Není Krásný: Poslední Exekuce
    dnes 16:55 | Zajímavý software

    Vyšla hra Život Není Krásný: Poslední Exekuce (Steam, ProtonDB). Kreslená point & click adventura ze staré školy plná černého humoru a nekorektního násilí. Vžijte se do role zpustlého exekutora Vladimíra Brehowského a projděte s ním jeho poslední pracovní den. Hra volně navazuje na sérii Život Není Krásný.

    Ladislav Hagara | Komentářů: 1
    Fedora Hummingbird Linux
    dnes 14:00 | Zajímavý projekt

    Společnost Red Hat představila Fedora Hummingbird, tj. linuxovou distribuci s nativním kontejnerovým designem určenou pro vývojáře využívající AI agenty.

    Pinhead | Komentářů: 3
    Dusklight, hra The Legend of Zelda: Twilight Princess na počítačích a mobilních zařízeních
    dnes 02:22 | Zajímavý software

    Hru The Legend of Zelda: Twilight Princess od společnosti Nintendo si lze nově díky projektu Dusklight (původně Dusk) a reverznímu inženýrství zahrát i na počítačích a mobilních zařízeních. Vyžadována je kopie původní hry (textury, modely, hudba, zvukové efekty, …). Ukázka na YouTube. Projekt byl zahájen v srpnu 2020.

    Ladislav Hagara | Komentářů: 0
    Erlang/OTP 29.0
    dnes 01:11 | Nová verze

    Byla vydána nová major verze 29.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Detailní přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 0
    Zranitelnost Fragnesia
    včera 21:22 | Bezpečnostní upozornění

    Po zranitelnostech Copy Fail a Dirty Frag přichází zranitelnost Fragnesia. Další lokální eskalace práv na Linuxu. Zatím v upstreamu neopravena. Přiřazeno ji bylo CVE-2026-46300.

    Ladislav Hagara | Komentářů: 1
    Sovereign Tech Agency podpoří KDE částkou 1 285 200 eur
    včera 14:00 | Komunita

    Sovereign Tech Agency (Wikipedie) prostřednictvím svého fondu Sovereign Tech Fund podpoří KDE částkou 1 285 200 eur.

    Ladislav Hagara | Komentářů: 7
    The Android Show | I/O Edition 2026
    včera 12:55 | IT novinky

    Google na včerejší akci The Android Show | I/O Edition 2026 (YouTube) představil celou řadu novinek: Gemini Intelligence, notebooky Googlebook, novou generaci Android Auto, …

    Ladislav Hagara | Komentářů: 0
    EK chystá pravidla pro věkové omezení sociálních sítí, řekla von der Leyenová
    včera 12:33 | IT novinky

    Evropská komise by do léta mohla předložit návrh normy omezující používání sociálních sítí dětmi v zájmu jejich bezpečí na internetu. Prohlásila to včera předsedkyně EK Ursula von der Leyenová, podle níž řada zemí Evropské unie volá po zavedení věkové hranice pro sociální sítě. EU částečně řeší bezpečnost dětí v digitálním prostředí v již platném nařízení o digitálních službách (DSA), podle německé političky to však není dostatečné a

    … více »
    Ladislav Hagara | Komentářů: 48
    scrcpy 4.0
    včera 04:11 | Nová verze

    Multiplatformní open source aplikace scrcpy (Wikipedie) pro zrcadlení připojeného zařízení se systémem Android na desktopu a umožňující ovládání tohoto zařízení z desktopu, byla vydána v nové verzi 4.0.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (13%)
     (8%)
     (2%)
     (14%)
     (31%)
     (4%)
     (6%)
     (3%)
     (16%)
     (25%)
    Celkem 1606 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / hacknuty server
    Štítky: cd, distribuce, find, Gentoo, Live, práva, server

    Dotaz: hacknuty server

    10.2.2010 12:20 vsivak
    hacknuty server
    Přečteno: 1169×
    Ahoj,

    hacknuli mi server. Prosel jsem to antivirem a mam kompletne zavirovanou slozku /usr/bin/ soubory jako find, dir atp. maji divnou velikost, vlastni je uzivatel 122 ktery neexistuje. Antivirak to identifikoval jako nejakeho trojana ELF-Malware cosi. Jelikoz pouzivam vice serveru s danou verzi gentoo chtel jsem zavirovane programy prekopirovat originalnimi, ale z nejakeho duvodu to nejde. Kdyz se prihlasim jako root a snazim se soubor odebrat pise mi operation not permitted. Kdyz se pokousim zmenit vlastnika, nebo prava pise mi totez. Nabootoval jsem z live CD primountoval disky a pri pokusu smazat zavirovane soubory mi pise zase operation not permitted. I kdyz jsem prihlsen jako root z bootovaciho CD tak s nima nemuzu delat vubec nic. Co s tim?

    Prosim poradte.
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    10.2.2010 12:29 merlik | skóre: 13 | blog: merlik
    Rozbalit Rozbalit vše Re: hacknuty server
    Jako první (k těm nepřepsatelným souborům) bych zkusil lsattr soubor, jestli nemá nastaven immutable (nebo jak se to jmenuje) atribut. Pokud ano, chattr -i soubor.
    I cesta může být cíl.
    10.2.2010 13:10 vsivak
    Rozbalit Rozbalit vše Re: hacknuty server
    Ahoj,

    zkousel jsem lsattr a soubor vypada zcela normalne.
    10.2.2010 14:57 merlik | skóre: 13 | blog: merlik
    Rozbalit Rozbalit vše Re: hacknuty server
    Jen pro jistotu, z os s jádrem hacknutého serveru nebo z LiveCD?
    I cesta může být cíl.
    10.2.2010 12:39 CIJOML
    Rozbalit Rozbalit vše Re: hacknuty server
    Jestli te neco/nekdo hacknul server, je to VZDY na kompletni reinstall - jinak opravdu nemuzes tusit kde vsude je hacker zadratovany (pripadne upravy v jadru abys nevidel urcite soubory etc.)
    10.2.2010 14:53 merlik | skóre: 13 | blog: merlik
    Rozbalit Rozbalit vše Re: hacknuty server
    +1, čemukoliv kompromitovanému nevěřit.
    I cesta může být cíl.
    10.2.2010 14:58 jirka
    Rozbalit Rozbalit vše Re: hacknuty server
    Je otazka, zda se VZDY vyplati komletni reinstal. Pri rozumne sprave je rychlejsi vymenit jadro, zkontrolovat, zda neni nejaky rozdil proti distrbucnim souborum, a zkontrolovat jestli dotycny neudelal nejake zmeny v konfiguraci.

    To vse po predchozi analyze kudy na server utocnik pronikl a pripadnem nastaveni monitorovani te diry, aby si mohl napsat patch.
    10.2.2010 16:56 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: hacknuty server
    Odpověď na tu otázku je ano.
    In Ada the typical infinite loop would normally be terminated by detonation.
    10.2.2010 17:32 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: hacknuty server
    To co popisujete ale znamená:

    Vyměnit jádro = reinstall jádra (ponecháte akorát .config který zkontrolujete se zálohou).

    Zkontrolovat rozdíl oproti distribučíním souborům == potřebujete všechny distribuční soubory a udělat cmp, což je stejně funkční jako je nahradit (přeinstalovat).

    Zkontrolovat konfiguraci == potřebujete kontrolu vůči záloze konfigurace a udělat nad soubory diff (což je stejně funkční jako je zálohou přeinstalovat).

    Suma sumárum, popsal jste nám, jak se udělá reinastalace (= všechono se buď vymění, nebo alespoň porovná), jen jinými slovy.
    10.2.2010 18:25 merlik | skóre: 13 | blog: merlik
    Rozbalit Rozbalit vše Re: hacknuty server
    A u gentoo bude asi nemožné zkontrolovat rozdíly v binárkách...
    I cesta může být cíl.
    11.2.2010 02:02 Vantomas | skóre: 32 | Praha
    Rozbalit Rozbalit vše Re: hacknuty server

    Neni mozny, u Gentoo je tohle naprosto nemozny, vzdyt je to vsechno ze zdrojaku, nejdou zjistit rozdily v binarkach... Nevim no, da se zjistit md5sum a datum vytvoreni(?)...

    vantomas@vendula ~ $ cat /var/db/pkg/sys-apps/baselayout-2.0.1/CONTENTS dir /etc dir /etc/env.d obj /etc/env.d/00basic b38e1b1c583adc41e92ef726b6dbada5 1188143820 obj /etc/env.d/04multilib 7dfcac63e4506335c6feb69a19aeedfb 1246109572 obj /etc/filesystems e237f44197dbbc89c2da71706b521648 1175771922 obj /etc/gentoo-release aaf4ac8973557f613b630993f708459d 1246109572 obj /etc/hosts 55f31266cf1f992ea7649bb81570f9e6 1175771922 obj /etc/inputrc e1f71f20ad93777f34fa7146f9d7835b 1206233742 obj /etc/issue 4d28e6c41594f3385b6fa532621f107b 1175771922 obj /etc/issue.logo 7c9f10a730015b98a2b7df8d9a9fe0f2 1175771922 dir /etc/modprobe.d obj /etc/modprobe.d/aliases.conf cefd8bf05e4733b74d5c2ba40c443222 1241626488 obj /etc/modprobe.d/i386.conf f9e3eac60200d41dd5569eeabb4eddff 1241626488 obj /etc/networks 4da5de95a5ef3f5882d8215365168b5a 1192183744 obj /etc/profile 73fac3dda327a6c0635fd118a334c45e 1208269810 obj /etc/protocols 770ee14b933e1e0cc76aebf813528b58 1206233742 obj /etc/services 458d991cc14a4a70325bc404389eef0f 1206233742 obj /etc/shells be4256fd5da19538f5b6f75d5893a7c4 1175771922 obj /etc/sysctl.conf cac1af5eb2a66b67ec21c44d842cbab7 1179240224 dir /usr dir /usr/share dir /usr/share/baselayout obj /usr/share/baselayout/fstab 735201d735894240a59316e1244aa43b 1224987732 obj /usr/share/baselayout/group fde304597e24920c5e040f6aa644e02d 1195027082 obj /usr/share/baselayout/issue.devfix 36e8d9c482855ff6d8212659a67732d4 1184434591 obj /usr/share/baselayout/passwd 07f828a357933abd35e1dc5db2bdb056 1206232559 obj /usr/share/baselayout/shadow 7536b55bc58e0b327a1900cb24013f99 1175771922 dir /usr/share/doc dir /usr/share/doc/baselayout-2.0.1 obj /usr/share/doc/baselayout-2.0.1/ChangeLog.bz2 9b4e9a6e607cac09dd8319de285b2656 1246109572

    10.2.2010 23:26 jirka
    Rozbalit Rozbalit vše Re: hacknuty server
    Na systemu s rpm a zalohovanim do version systemu delam vyse popsane na 5 prikazu :)

    Delam to pravidelne, nejen, abych zjistil, jestli server neni hackly, ale take, abych videl, kdo z dalsich spoluadminu dela na serverech bordel a nepostupuje podle dohodnutych pravidel.

    Cele to zabere par minut.
    10.2.2010 23:41 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: hacknuty server
    A co my s tím jako?

    Když jsem si před časem rozbil filesystém (pár desítek souborů náhodně na disku obsahovaly místo původních dat bloky nul), tak jsem si také napsal asi tři skripty, z nichž jeden mi udělal diff na na konfiguraci, druhý cmp na multimédia, no a nedatové věci (systém jako takový) jsem re-emergnul třetím skriptem, což se skoro povedlo, nebýt rozbyté /var/db/pkg :)

    Prakticky to ovšem znamenalo kompletní obnovu systému, protože všechny soubory na disku jsem buď nahradil ze zálohy, nebo nechal, ale až poté, co jsem věděl, že jsou shodné se zálohou, a nebo přeinstaloval z portage. Tedy šlo vlastně o reinstalaci, nezůstal kámen na kameni.

    Jestli celý ten monstrproces bude spuštěn pěti příkazy, nebo padesáti, nebo jedním z cronu, to se mi zdá nerelevantní. Ale možná v tom nějaký rozdíl vidíte. Podle mne je rozdíl, když vám nějaký admin někam nainstaluje něco co nemá, a když se vám vymění půlka systému. V tom druhém případě prostě kontrolou či přeinstalací strávíte víc času, jak strojového, tak lidského.
    10.2.2010 12:56 no yo
    Rozbalit Rozbalit vše Re: hacknuty server
    rofl
    10.2.2010 13:47 kuda
    Rozbalit Rozbalit vše Re: hacknuty server
    zdravim, mohl byste, prosim, zminit, co na uvedenem stroji bezi (bezelo) za sluzby a jaky porty mel otevreny/prip. iptables -L -v? esi to budete prekopavat, chtelo by to vedet, kde je dira, aby se Vam to nestalo znova + by to mohlo pomoct ostatnim ... diky k.
    10.2.2010 17:33 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: hacknuty server
    nejlépe iptables -L -v z doby před hacknutí, žejo :D
    10.2.2010 18:55 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: hacknuty server
    V nastavení firewallu ten problém asi nebude – pokud by byl špatně nastaven, stejně to znamená, že tam běžela nějaká služba, kterou buď není možné nakonfigurovat, aby naslouchala jen na té správné IP adrese a portu, nebo je ta služba děravá. Takže problém by byl hlavně v té službě, bránit přístupu k ní na firewallu je až sekundární ochrana.
    10.2.2010 15:08 jirkamailto | skóre: 31
    Rozbalit Rozbalit vše Re: hacknuty server
    Jak uz tady nekdo psal, kompletni reinstall. Je to nutnost, muzou byt prepsane systemove soubory a tak tam utocnik muze mit backdoor. Sam jsem to resil a reinstall byl jednoznacny. Format, cista instalace atd.
    otasomil avatar 10.2.2010 15:25 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: hacknuty server

    >>>Ahoj, hacknuli mi server.

    To udelat me, tak ode mne dostanou lahvinku.

    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    Max avatar 10.2.2010 15:38 Max | skóre: 73 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: hacknuty server
    To udělat mně, tak si asi otluču hlavu o zeď :).
    Zdar Max
    PS: však jednou zapomeneš včas updatovat :).
    Měl jsem sen ... :(
    otasomil avatar 10.2.2010 16:01 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: hacknuty server

    >>>PS: však jednou zapomeneš včas updatovat :).

    Ja neupdatuju.

    Linux puppypc 2.6.25.16 #1 Tue Aug 26 10:45:53 GMT-8 2008 i586 GNU/Linux

    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    10.2.2010 16:31 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: hacknuty server
    Už zbývá jen IP a můžeme se pustit do díla :-)
    10.2.2010 16:52 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: hacknuty server
    Kuk do jeho patičky...
    Quando omni flunkus moritati
    otasomil avatar 10.2.2010 17:24 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: hacknuty server

    Tak at to date. Lahvinka bude Vase.

    IP viz paticka.

    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    10.2.2010 22:33 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: hacknuty server
    No já to nedám, to ti můžu říct rovnou :-) Mít na to rok, možná, ale to by pak dal každý...
    Ruža Becelin avatar 10.2.2010 16:40 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
    Rozbalit Rozbalit vše Re: hacknuty server
    Prosel jsem to antivirem a mam kompletne zavirovanou slozku /usr/bin/ soubory jako find, dir atp. maji divnou velikost, vlastni je uzivatel 122 ktery neexistuje. Antivirak to identifikoval jako nejakeho trojana ELF-Malware cosi.

    Musel jsem to precist dvakrat, abych se ujistil, ze se nejedna o Windows... Antivir? To uz je na tom Linux tak spatne, ze po hacku se musi pouzit antivir??
    10.2.2010 17:01 dustin | skóre: 63 | blog: dustin
    Rozbalit Rozbalit vše Re: hacknuty server
    Předpokládám, že použil některý z detektorů rootkitů.
    Ruža Becelin avatar 10.2.2010 17:06 Ruža Becelin | skóre: 40 | blog: RuzaBecelinBlog
    Rozbalit Rozbalit vše Re: hacknuty server
    To spis...
    10.2.2010 21:48 vsivak
    Rozbalit Rozbalit vše Re: hacknuty server
    Ne,

    nabootoval jsem z live cd, pripojil k serveru notebook a proscannoval disk avastem.
    10.2.2010 17:02 rob
    Rozbalit Rozbalit vše Re: hacknuty server
    lsattr /sbin/* /bin/* /lib/* /usr/sbin/* /usr/bin/* | \ grep -v "\-\-\-\-\-\-\-\-\-\-\-\-\-" | grep -v "consolefonts"

    Pokud vám to vrátí nějaký výsledek, např.: –s-i–a—— /usr/bin/top s vysokou pravděpodobností je konkrétní soubor kompromitován.
    10.2.2010 21:39 vsivak
    Rozbalit Rozbalit vše Re: hacknuty server
    Ahoj,

    je tam spousty takovych souboru. Vyradil jsem sia atributy, dane napadene smazal a nahradil originaly ze zalohy. Jadro jsem prekompiloval - make clean && make -j2 && make modules_install a prekopiroval jsem bzImage. Zkontroloval jsem i konfiguraky v /etc. Existuje nejaky jednoduchy zpusob jak prekompilovat veskery pozdeji doninstalovany software jako napr mysql, samba, lighttpd, php, postfix, dovecot, clamav, psad, ...

    Vim taky jak se dostali dovnitr. Prosel jsem logy 4 dny dopredu pred padem serveru a nabourali to pres roundcube hovada. Konkretne pres soubor html2text.php - bylo tam hodne pozadavku na dany soubor, tak jsem pogooglil a zjistil, ze skript obsahuje kritickou chybu, ktera umozni utocnikovi zmocnit se korene domeny a spoustet tam svoje skripty. Potom se dostali pres celkem chatrne zabezpeceny jail, vyradili psad a zacali dovnitr instalovat svoje sracky. Utok byl veden z ip adresy 65.39.172.207.

    Jak mam postupovat, ma smysl to hlasit?
    AraxoN avatar 10.2.2010 22:04 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: hacknuty server
    Ak si to inštaloval cez emerge, tak všetko prekompiluješ cez emerge -eav world

    K tomu či má zmysel to hlásiť - IMHO nie. Nezabezpečených wifi je milión všade kam sa pohneš, takže ak má hacker trošku filipa, tak to nerobil cez svoje internetové pripojenie.
    11.2.2010 17:09 Martin H. | skóre: 27 | blog: linservis | Brno
    Rozbalit Rozbalit vše Re: hacknuty server
    Hmm, asi taky hacknutý server s OS Linux ... je tam Web, SMTP, POP3 a IMAP (Dovecot). Takže jsi byl další v řadě ...

    Stao se mi něco podobného, přes ukradená hesla z TC klienta se přes FTP snažili ... díky mírné paranoie se daleko nedostali ... naštěstí pro mě ... a skripty mám k dispozici (protože je už nějak neměli právo smazat :-)

    Doporučuji reinstalaci, jak bylo výše ... pak máš fakt jistotu.

    Původní hack disk si nech a klidně si ho přimountuj a vytahej z něj conf soubory...
    --- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---
    develo avatar 10.2.2010 23:38 develo | skóre: 8
    Rozbalit Rozbalit vše Re: hacknuty server
    Nahlas to, kdyz to nebude proxy server tak to bude s nejvetsi pravdepodobnosti pocitac treba ve skole nebo v kavarne a kdyz to ne tak pc utocnika, predstirani ip adresy je taky moznost, za oznameni skoro nic nedas ;-) Sry za diakritiku ale nechce se mi na live cdcku porad nastavovat ceskou klavesnici... :)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.