Linux Foundation Europe představila projekt RISE (RISC-V Software Ecosystem), jehož cílem je urychlit vývoj open source softwaru pro architekturu RISC-V.
Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu pro jednodeskové počítače na platformě ARM, byl vydán ve verzi 23.05. Přehled novinek v Changelogu.
Minulý týden proběhla openSUSE Conference 2023. Mimo jiné bylo oznámeno přejmenování systému MicroOS Desktop. MicroOS Desktop GNOME byl přejmenován na openSUSE Aeon a MicroOS Desktop Plasma na openSUSE Kalpa.
Thom Holwerda z OSnews si všímá, že vývoj operačního systému MINIX je prakticky mrtvý. Jeho hlavní autor, Andrew Tanenbaum, formálně odešel do důchodu v roce 2014 a příspěvky do kódu v následujících letech vůbec ustaly. Stav projektu shrnuje diskuze z roku 2020. Sice vyšlo najevo, že Intel používal MINIX v Management Engine, ale změny nezveřejňoval.
Google Chrome 114 byl prohlášen za stabilní. Nejnovější stabilní verze 114.0.5735.90 přináší řadu oprav a vylepšení (YouTube). Vypíchnut je CHIPS (Cookies Having Independent Partitioned State). Opraveno bylo 16 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.
Byly zveřejněny prezentace a videozáznamy přednášek a fotografie z česko-slovenského setkání poskytovatelů přístupu k internetu, provozovatelů telekomunikačních sítí, registrátorů domén a provozovatelů počítačových sítí a technických nadšenců CSNOG 2023 (Czech and Slovak Network Operators Group) konaného 16. a 17. května ve Zlínu.
Soutěž amatérských robotů Robotický den 2023 proběhne v neděli 4. června v Kongresovém centru Praha.
V Tchaj-peji probíhá počítačový veletrh COMPUTEX 2023. Firmy představují své novinky. Nvidia například superpočítač DGX GH200 AI.
Vyšla nová verze XMPP (Jabber) klienta Gajim. Nejvýznamnější novinkou je integrace OMEMO pluginu přímo do jádra aplikace, takže již není třeba plugin samostatně instalovat. Přehled dalších novinek je dostupný na oficiálních stránkách. Gajim je vytvořen v jazyce Python s využitím knihovny GTK a vedle Linuxu jej lze vyzkoušet i na platformách MacOS a Windows.
Komunita KDE představila stránku KDE for Developers pro vývojáře používající KDE aplikace. Postupně byly představeny stránky pro umělce KDE for Creators, děti KDE for Kids a vědce KDE for Scientists.
54/tcp open ssh SCS sshd 2.0.13 (protocol 1.5)akorát nevím proč je to jako xns-ch :o) . Nebo je to normální když mám na serveru povolenou jen službu ssh ?
netstat -ltp | grep 54
pustený ako root? Ak tam niečo počúva tak v poslednom stĺpci bude PID a meno procesu. Z toho by som sa pozrel do /proc/{pid}/exe - ci to náhodou nie je nejaká pliaga.
xns-ch 54/tcp XNS Clearinghouse xns-ch 54/udp XNS Clearinghouse # Susie Armstrong <Armstrong.wbst128@XEROX>
sudo netstat -ltp | grep 54 tcp 0 0 *:54 *:* LISTEN 2436/ttyload
.... I checked my site for obvious backdoors by typing netstat -lntpe. Aloha! There was a strange daemon named ttyload listening on port 4444. This process did not show up when I used the hacked ps command. ...Vyššie som písal ako sa pozrieť, kde ten súbor je.
V crontab nic pro roota ani jineho uživatele není , ve vypisu ps taky nic podezřeleho , žádný sleep není puštěn. Dle logu z /var/log/auth.log jde vidět že to patrně dělal nějaký robot .
Jeho IP 188.27.209.105 -- patrně z Rumunska
chci se zeptat jestli jde nějak zjistit jestli si tam nenechal nějaké vratkaV podstatě nelze. Možná by šlo rozbalit si na jiném stroji všechny balíčky, které jsou na napadeném serveru nainstalované, a zkontrolovat sha1 součty. Ale to je spíš kdyby sis chtěl hrát. Smazat, přeinstalovat, nastavit silné heslo, přihlašovat se SSH klíčem.
sudo netstat -lntpe tcp 0 0 0.0.0.0:54 0.0.0.0:* LISTEN 0 5907 2484/ttyload
ps aux |grep ttyload root 2484 0.0 0.1 2284 528 ? Ss 12:35 0:00 /sbin/ttyload -q
namp moje_verejna_ip Not shown: 1685 closed ports, 29 filtered ports PORT STATE SERVICE 22/tcp open ssha teď nevím jestli je to vpořádku nebo ne.
zakazal jsem přihlašni rootaNo tím jsi tomu fakt pomohl… (ironie) Zakazováním přihlášení roota se nepomůže ani zdravému systému, natož pak nakaženému.
Tak postupoval jsem podle těch navodu co jsou na webuTak v tom případě byl návod vadný. Je to velice rozšířený omyl. Kde kdo doporučuje zakázat přihlašování roota na SSH a v okamžiku, kdy se ho zeptáš, jak přesně by to mělo zvyšovat bezpečnost, není schopen odpovědět…
já klidně ten server přeinstaluji , to není problém , jen mě spíše zajímá jestli jde vysledovat nějaké nekalé praktiky. Když to smažu tak se už nic nedozvím :o)Já bych porovnal integritu souborů s distribučními a v případě nalezení backdooru bych si s tím pohrál ve VirtualBoxu a pak o tom napsal do blogu
Pokud by chtěl co spouštět tak by to bylo v crontabu /tedy alepoň myslím/ .Binárka cronu může být podvržená a mít nějaký cronjob klidně natvrdo v sobě.
Hledal jsem ten ttyload a zjistil jsem že Deban Lenny /tedy stable verze/ takový balík nemá, tudíž celkem netuším jak se tam dostal ...No to je jednoduché - nainstaloval ti ho tam útočník
sudo rm -f /sbin/ttymon rm: nelze odstranit „/sbin/ttymon“: Operace není povolenaAle dobře mi tak .o)) ať je to i ponaučením pro všechny co si dávájí slabé hesla.
Kde kdo doporučuje zakázat přihlašování roota na SSH a v okamžiku, kdy se ho zeptáš, jak přesně by to mělo zvyšovat bezpečnost, není schopen odpovědět…Zajímalo by mě, koho jste se ptal. Protože já vám klidně řeknu, že zákaz přihlašování roota na SSH heslem zvyšuje bezpečnost tak, že útočník na začátku nezná ani jméno uživatele, které by mohl pro svůj útok použít.
qwerty123
, řeš problém změnou hesla a ne přejmenováním roota.
Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed Searching for Showtee... Warning: Possible Showtee Rootkit installed
#tohle je ten soubor od t0rn v8 /usr/lib/libsh/.bashrcten první rootkit jsem smazal /šel smazat ../ Smazání /sbin/ttyload a ttymon zatím bz uspechu.
Pokud by to někoho zajimalo a chěl by nějaký výpis dejte vědět. Budu ještě celou neděli pozorovat co se děje :o))
snažím se teď jen zjisiti co to všechno děláNa 99% je to jen normální využití slabiny v hesle bez konkrétního zaměření na Vás. Útočník bude Váš stroj používat nadále pro instalaci botnetu (spam, DoS, ...) a crackování dalších strojů.
Jen se chci zeptat jestli existuje nějaký příkaz který /kromě rmPravděpodobně je soubor nastavený jako immutable, zkuste
chattr -i
Z venku již žádné útoky nejsou , otevřený je jen port 22Zapřemýšlejte o změně portu nebo omezení přístupu přes firewall.
Pokud by chtěl utočník znovu se přihlásit na můj stroj,co bych měl sledovat abych to poznal. Tail mi běží na skoro všech logách . Ale zatím vidím jen svoji činnost, kromě jednoho dnešního pokusu z číny o přihlášení na ssh2
sudo lsattr /usr/lib/libsh/.bashrc ------------------- /usr/lib/libsh/.bashrc sudo rm -f /usr/lib/libsh/.bashrc rm: nelze odstranit „/usr/lib/libsh/.bashrc“: Přístup odmítnut
Tiskni
Sdílej: