Přihlášení | Registrace

napište » Zprávičky

inzerujte » Pracovní nabídky

Ubuntu Summit 2023 proběhne od 3. do 5. listopadu v Rize

včera 23:44 | Komunita

Ubuntu Summit 2023 proběhne od 3. do 5. listopadu v Rize.

Ladislav Hagara | Komentářů: 0

Python 3.12.0

včera 19:33 | Nová verze

Programovací jazyk Python byl vydán v nové major verzi 3.12.0. Podrobný přehled novinek v Changelogu.

Ladislav Hagara | Komentářů: 0

Linux ve Scratchi

včera 17:00 | Zajímavý projekt

Linux ve Scratchi. Ne Linux v linuxové distribuci Linux From Scratch, ale Linux bežící v emulátoru procesoru RISC-V ve vizuálním programovacím jazyce Scratch.

Ladislav Hagara | Komentářů: 0

The Catch 2023 vyplul z přístavu

včera 16:22 | Pozvánky

Dnes ve 12 hodin začal další ročník CTF (Capture the Flag) soutěže The Catch: "Tentokrát nás kolegové z Forenzní laboratoře zavedou na loď plnou sofistikovaných síťových technologiích, kde soutěžící budou muset zvládnout náročné úkoly. Loď nese jméno našeho skvělého kolegy Josefa Vericha – síťového guru. Tradičně se soutěž koná v říjnu – měsíci kybernetické bezpečnosti."

Ladislav Hagara | Komentářů: 1

LinuxDays 2023 již tento víkend 7. a 8. října

včera 07:00 | Pozvánky

Konference LinuxDays 2023 proběhne již tento víkend 7. a 8. října v prostorách Fakulty informačních technologií Českého vysokého učení v Praze (FIT ČVUT). Na programu je spousta zajímavých přednášek a workshopů.

Ladislav Hagara | Komentářů: 1

Netflix odeslal poslední film na DVD

1.10. 22:33 | IT novinky

Netflix v pátek 29. září odeslal poslední film na DVD (YouTube). Společnost dnes známá jako streamovací služba začala před 25 lety jako půjčovna filmů na DVD. Zákazník si DVD objednal na webových stránkách, odesláno mu ale bylo klasickou poštou. Po zhlédnutí jej vložil do obálky a poslal zpět.

Ladislav Hagara | Komentářů: 16

6 bezpečnostních chyb v Eximu

30.9. 17:11 | Bezpečnostní upozornění

Zero Day Initiative zveřejnila informace o 6 bezpečnostních chybách (1, 2, 3, 4, 5, 6) v MTA Exim. Nejvážnější z nich CVE-2023-42115 má CVSS 9.8. Na opravě chyb se pracuje.

Ladislav Hagara | Komentářů: 11

libvpx 1.13.1 řeší kritickou bezpečnostní chybu CVE-2023-5217

30.9. 16:33 | Bezpečnostní upozornění

Knihovna libvpx byla vydána ve verzi 1.13.1. Řešena je kritická bezpečnostní chyba CVE-2023-5217 (heap buffer overflow in vp8 encoding). Chyba je již opravena také v Chrome / Chromium 117.0.5938.132 a Firefoxu 118.0.1.

Ladislav Hagara | Komentářů: 0

kmod 31

29.9. 23:55 | Nová verze

Balíček kmod s nástroji pro práci s linuxovými moduly byl vydán ve verzi 31. Nově umí modprobe zavést modul nacházející se v libovolném adresáři (# modprobe ./drivers/gpu/drm/i915/i915.ko).

Ladislav Hagara | Komentářů: 0

Hra Trüberbrook na GOG zdarma

29.9. 23:11 | IT novinky

Adventura Trüberbrook je na portále GOG.com zdarma, akce trvá do 2. října.

Fluttershy, yay! | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 3, poslední včera 23:31

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / hacknuty server

Štítky: cd, distribuce, find, Gentoo, Live, práva, server

Dotaz: hacknuty server

10.2.2010 12:20 vsivak
hacknuty server

Přečteno: 1059×

Odpovědět | Admin

Ahoj,

hacknuli mi server. Prosel jsem to antivirem a mam kompletne zavirovanou slozku /usr/bin/ soubory jako find, dir atp. maji divnou velikost, vlastni je uzivatel 122 ktery neexistuje. Antivirak to identifikoval jako nejakeho trojana ELF-Malware cosi. Jelikoz pouzivam vice serveru s danou verzi gentoo chtel jsem zavirovane programy prekopirovat originalnimi, ale z nejakeho duvodu to nejde. Kdyz se prihlasim jako root a snazim se soubor odebrat pise mi operation not permitted. Kdyz se pokousim zmenit vlastnika, nebo prava pise mi totez. Nabootoval jsem z live CD primountoval disky a pri pokusu smazat zavirovane soubory mi pise zase operation not permitted. I kdyz jsem prihlsen jako root z bootovaciho CD tak s nima nemuzu delat vubec nic. Co s tim?

Prosim poradte.

Nástroje: Začni sledovat (0) ?

Odpovědi

10.2.2010 12:29 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: hacknuty server

Jako první (k těm nepřepsatelným souborům) bych zkusil lsattr soubor, jestli nemá nastaven immutable (nebo jak se to jmenuje) atribut. Pokud ano, chattr -i soubor.

I cesta může být cíl.

10.2.2010 13:10 vsivak
Rozbalit Rozbalit vše Re: hacknuty server

Ahoj,

zkousel jsem lsattr a soubor vypada zcela normalne.

10.2.2010 14:57 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: hacknuty server

Jen pro jistotu, z os s jádrem hacknutého serveru nebo z LiveCD?

I cesta může být cíl.

10.2.2010 12:39 CIJOML
Rozbalit Rozbalit vše Re: hacknuty server

Jestli te neco/nekdo hacknul server, je to VZDY na kompletni reinstall - jinak opravdu nemuzes tusit kde vsude je hacker zadratovany (pripadne upravy v jadru abys nevidel urcite soubory etc.)

10.2.2010 14:53 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: hacknuty server

+1, čemukoliv kompromitovanému nevěřit.

I cesta může být cíl.

10.2.2010 14:58 jirka
Rozbalit Rozbalit vše Re: hacknuty server

Je otazka, zda se VZDY vyplati komletni reinstal. Pri rozumne sprave je rychlejsi vymenit jadro, zkontrolovat, zda neni nejaky rozdil proti distrbucnim souborum, a zkontrolovat jestli dotycny neudelal nejake zmeny v konfiguraci.

To vse po predchozi analyze kudy na server utocnik pronikl a pripadnem nastaveni monitorovani te diry, aby si mohl napsat patch.

10.2.2010 16:56 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: hacknuty server

Odpověď na tu otázku je ano.

In Ada the typical infinite loop would normally be terminated by detonation.

10.2.2010 17:32 Ash | skóre: 53
Rozbalit Rozbalit vše Re: hacknuty server

To co popisujete ale znamená:

Vyměnit jádro = reinstall jádra (ponecháte akorát .config který zkontrolujete se zálohou).

Zkontrolovat rozdíl oproti distribučíním souborům == potřebujete všechny distribuční soubory a udělat cmp, což je stejně funkční jako je nahradit (přeinstalovat).

Zkontrolovat konfiguraci == potřebujete kontrolu vůči záloze konfigurace a udělat nad soubory diff (což je stejně funkční jako je zálohou přeinstalovat).

Suma sumárum, popsal jste nám, jak se udělá reinastalace (= všechono se buď vymění, nebo alespoň porovná), jen jinými slovy.

10.2.2010 18:25 merlik | skóre: 13 | blog: merlik
Rozbalit Rozbalit vše Re: hacknuty server

A u gentoo bude asi nemožné zkontrolovat rozdíly v binárkách...

I cesta může být cíl.

11.2.2010 02:02 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: hacknuty server

Neni mozny, u Gentoo je tohle naprosto nemozny, vzdyt je to vsechno ze zdrojaku, nejdou zjistit rozdily v binarkach... Nevim no, da se zjistit md5sum a datum vytvoreni(?)...

vantomas@vendula ~ $ cat /var/db/pkg/sys-apps/baselayout-2.0.1/CONTENTS dir /etc dir /etc/env.d obj /etc/env.d/00basic b38e1b1c583adc41e92ef726b6dbada5 1188143820 obj /etc/env.d/04multilib 7dfcac63e4506335c6feb69a19aeedfb 1246109572 obj /etc/filesystems e237f44197dbbc89c2da71706b521648 1175771922 obj /etc/gentoo-release aaf4ac8973557f613b630993f708459d 1246109572 obj /etc/hosts 55f31266cf1f992ea7649bb81570f9e6 1175771922 obj /etc/inputrc e1f71f20ad93777f34fa7146f9d7835b 1206233742 obj /etc/issue 4d28e6c41594f3385b6fa532621f107b 1175771922 obj /etc/issue.logo 7c9f10a730015b98a2b7df8d9a9fe0f2 1175771922 dir /etc/modprobe.d obj /etc/modprobe.d/aliases.conf cefd8bf05e4733b74d5c2ba40c443222 1241626488 obj /etc/modprobe.d/i386.conf f9e3eac60200d41dd5569eeabb4eddff 1241626488 obj /etc/networks 4da5de95a5ef3f5882d8215365168b5a 1192183744 obj /etc/profile 73fac3dda327a6c0635fd118a334c45e 1208269810 obj /etc/protocols 770ee14b933e1e0cc76aebf813528b58 1206233742 obj /etc/services 458d991cc14a4a70325bc404389eef0f 1206233742 obj /etc/shells be4256fd5da19538f5b6f75d5893a7c4 1175771922 obj /etc/sysctl.conf cac1af5eb2a66b67ec21c44d842cbab7 1179240224 dir /usr dir /usr/share dir /usr/share/baselayout obj /usr/share/baselayout/fstab 735201d735894240a59316e1244aa43b 1224987732 obj /usr/share/baselayout/group fde304597e24920c5e040f6aa644e02d 1195027082 obj /usr/share/baselayout/issue.devfix 36e8d9c482855ff6d8212659a67732d4 1184434591 obj /usr/share/baselayout/passwd 07f828a357933abd35e1dc5db2bdb056 1206232559 obj /usr/share/baselayout/shadow 7536b55bc58e0b327a1900cb24013f99 1175771922 dir /usr/share/doc dir /usr/share/doc/baselayout-2.0.1 obj /usr/share/doc/baselayout-2.0.1/ChangeLog.bz2 9b4e9a6e607cac09dd8319de285b2656 1246109572

10.2.2010 23:26 jirka
Rozbalit Rozbalit vše Re: hacknuty server

Na systemu s rpm a zalohovanim do version systemu delam vyse popsane na 5 prikazu :)

Delam to pravidelne, nejen, abych zjistil, jestli server neni hackly, ale take, abych videl, kdo z dalsich spoluadminu dela na serverech bordel a nepostupuje podle dohodnutych pravidel.

Cele to zabere par minut.

10.2.2010 23:41 Ash | skóre: 53
Rozbalit Rozbalit vše Re: hacknuty server

A co my s tím jako?

Když jsem si před časem rozbil filesystém (pár desítek souborů náhodně na disku obsahovaly místo původních dat bloky nul), tak jsem si také napsal asi tři skripty, z nichž jeden mi udělal diff na na konfiguraci, druhý cmp na multimédia, no a nedatové věci (systém jako takový) jsem re-emergnul třetím skriptem, což se skoro povedlo, nebýt rozbyté /var/db/pkg :)

Prakticky to ovšem znamenalo kompletní obnovu systému, protože všechny soubory na disku jsem buď nahradil ze zálohy, nebo nechal, ale až poté, co jsem věděl, že jsou shodné se zálohou, a nebo přeinstaloval z portage. Tedy šlo vlastně o reinstalaci, nezůstal kámen na kameni.

Jestli celý ten monstrproces bude spuštěn pěti příkazy, nebo padesáti, nebo jedním z cronu, to se mi zdá nerelevantní. Ale možná v tom nějaký rozdíl vidíte. Podle mne je rozdíl, když vám nějaký admin někam nainstaluje něco co nemá, a když se vám vymění půlka systému. V tom druhém případě prostě kontrolou či přeinstalací strávíte víc času, jak strojového, tak lidského.

10.2.2010 12:56 no yo
Rozbalit Rozbalit vše Re: hacknuty server

rofl

10.2.2010 13:47 kuda
Rozbalit Rozbalit vše Re: hacknuty server

zdravim, mohl byste, prosim, zminit, co na uvedenem stroji bezi (bezelo) za sluzby a jaky porty mel otevreny/prip. iptables -L -v? esi to budete prekopavat, chtelo by to vedet, kde je dira, aby se Vam to nestalo znova + by to mohlo pomoct ostatnim ... diky k.

10.2.2010 17:33 Ash | skóre: 53
Rozbalit Rozbalit vše Re: hacknuty server

nejlépe iptables -L -v z doby před hacknutí, žejo :D

10.2.2010 18:55 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: hacknuty server

V nastavení firewallu ten problém asi nebude – pokud by byl špatně nastaven, stejně to znamená, že tam běžela nějaká služba, kterou buď není možné nakonfigurovat, aby naslouchala jen na té správné IP adrese a portu, nebo je ta služba děravá. Takže problém by byl hlavně v té službě, bránit přístupu k ní na firewallu je až sekundární ochrana.

10.2.2010 15:08 jirkamailto | skóre: 31
Rozbalit Rozbalit vše Re: hacknuty server

Jak uz tady nekdo psal, kompletni reinstall. Je to nutnost, muzou byt prepsane systemove soubory a tak tam utocnik muze mit backdoor. Sam jsem to resil a reinstall byl jednoznacny. Format, cista instalace atd.

10.2.2010 15:25 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: hacknuty server

>>>Ahoj, hacknuli mi server.

To udelat me, tak ode mne dostanou lahvinku.

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

10.2.2010 15:38 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: hacknuty server

To udělat mně, tak si asi otluču hlavu o zeď :).
Zdar Max
PS: však jednou zapomeneš včas updatovat :).

Měl jsem sen ... :(

10.2.2010 16:01 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: hacknuty server

>>>PS: však jednou zapomeneš včas updatovat :).

Ja neupdatuju.

Linux puppypc 2.6.25.16 #1 Tue Aug 26 10:45:53 GMT-8 2008 i586 GNU/Linux

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

10.2.2010 16:31 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: hacknuty server

Už zbývá jen IP a můžeme se pustit do díla :-)

10.2.2010 16:52 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: hacknuty server

Kuk do jeho patičky...

Quando omni flunkus moritati

10.2.2010 17:24 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: hacknuty server

Tak at to date. Lahvinka bude Vase.

IP viz paticka.

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

10.2.2010 22:33 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: hacknuty server

No já to nedám, to ti můžu říct rovnou :-)

Mít na to rok, možná, ale to by pak dal každý...

10.2.2010 16:40 Ruža Becelin | skóre: 39 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: hacknuty server

Prosel jsem to antivirem a mam kompletne zavirovanou slozku /usr/bin/ soubory jako find, dir atp. maji divnou velikost, vlastni je uzivatel 122 ktery neexistuje. Antivirak to identifikoval jako nejakeho trojana ELF-Malware cosi.

Musel jsem to precist dvakrat, abych se ujistil, ze se nejedna o Windows... Antivir? To uz je na tom Linux tak spatne, ze po hacku se musi pouzit antivir??

10.2.2010 17:01 dustin | skóre: 63 | blog: dustin
Rozbalit Rozbalit vše Re: hacknuty server

Předpokládám, že použil některý z detektorů rootkitů.

10.2.2010 17:06 Ruža Becelin | skóre: 39 | blog: RuzaBecelinBlog
Rozbalit Rozbalit vše Re: hacknuty server

To spis...

10.2.2010 21:48 vsivak
Rozbalit Rozbalit vše Re: hacknuty server

Ne,

nabootoval jsem z live cd, pripojil k serveru notebook a proscannoval disk avastem.

10.2.2010 17:02 rob
Rozbalit Rozbalit vše Re: hacknuty server

lsattr /sbin/* /bin/* /lib/* /usr/sbin/* /usr/bin/* | \ grep -v "\-\-\-\-\-\-\-\-\-\-\-\-\-" | grep -v "consolefonts"

Pokud vám to vrátí nějaký výsledek, např.: –s-i–a—— /usr/bin/top s vysokou pravděpodobností je konkrétní soubor kompromitován.

10.2.2010 21:39 vsivak
Rozbalit Rozbalit vše Re: hacknuty server

Ahoj,

je tam spousty takovych souboru. Vyradil jsem sia atributy, dane napadene smazal a nahradil originaly ze zalohy. Jadro jsem prekompiloval - make clean && make -j2 && make modules_install a prekopiroval jsem bzImage. Zkontroloval jsem i konfiguraky v /etc. Existuje nejaky jednoduchy zpusob jak prekompilovat veskery pozdeji doninstalovany software jako napr mysql, samba, lighttpd, php, postfix, dovecot, clamav, psad, ...

Vim taky jak se dostali dovnitr. Prosel jsem logy 4 dny dopredu pred padem serveru a nabourali to pres roundcube hovada. Konkretne pres soubor html2text.php - bylo tam hodne pozadavku na dany soubor, tak jsem pogooglil a zjistil, ze skript obsahuje kritickou chybu, ktera umozni utocnikovi zmocnit se korene domeny a spoustet tam svoje skripty. Potom se dostali pres celkem chatrne zabezpeceny jail, vyradili psad a zacali dovnitr instalovat svoje sracky. Utok byl veden z ip adresy 65.39.172.207.

Jak mam postupovat, ma smysl to hlasit?

10.2.2010 22:04 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: hacknuty server

Ak si to inštaloval cez emerge, tak všetko prekompiluješ cez emerge -eav world

K tomu či má zmysel to hlásiť - IMHO nie. Nezabezpečených wifi je milión všade kam sa pohneš, takže ak má hacker trošku filipa, tak to nerobil cez svoje internetové pripojenie.

11.2.2010 17:09 Martin H. | skóre: 27 | blog: linservis | Brno
Rozbalit Rozbalit vše Re: hacknuty server

Hmm, asi taky hacknutý server s OS Linux ... je tam Web, SMTP, POP3 a IMAP (Dovecot). Takže jsi byl další v řadě ...

Stao se mi něco podobného, přes ukradená hesla z TC klienta se přes FTP snažili ... díky mírné paranoie se daleko nedostali ... naštěstí pro mě ... a skripty mám k dispozici (protože je už nějak neměli právo smazat :-)

Doporučuji reinstalaci, jak bylo výše ... pak máš fakt jistotu.

Původní hack disk si nech a klidně si ho přimountuj a vytahej z něj conf soubory...

--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---

10.2.2010 23:38 develo | skóre: 8
Rozbalit Rozbalit vše Re: hacknuty server

Nahlas to, kdyz to nebude proxy server tak to bude s nejvetsi pravdepodobnosti pocitac treba ve skole nebo v kavarne a kdyz to ne tak pc utocnika, predstirani ip adresy je taky moznost, za oznameni skoro nic nedas ;-)

Sry za diakritiku ale nechce se mi na live cdcku porad nastavovat ceskou klavesnici... :)

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje