V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.
Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.
Výroba 8bitových domácích počítačů Commodore 64 byla ukončena v dubnu 1994. Po více než 30 letech byl představen nový oficiální Commodore 64 Ultimate (YouTube). S deskou postavenou na FPGA. Ve 3 edicích v ceně od 299 dolarů a plánovaným dodáním v říjnu a listopadu letošního roku.
Společnost Hugging Face ve spolupráci se společností Pollen Robotics představila open source robota Reachy Mini (YouTube). Předobjednat lze lite verzi za 299 dolarů a wireless verzi s Raspberry Pi 5 za 449 dolarů.
Dnes v 17:30 bude oficiálně vydána open source počítačová hra DOGWALK vytvořena v 3D softwaru Blender a herním enginu Godot. Release party proběhne na YouTube od 17:00.
McDonald's se spojil se společností Paradox a pracovníky nabírá také pomocí AI řešení s virtuální asistentkou Olivii běžící na webu McHire. Ian Carroll a Sam Curry se na toto AI řešení blíže podívali a opravdu je překvapilo, že se mohli přihlásit pomocí jména 123456 a hesla 123456 a získat přístup k údajům o 64 milionech uchazečů o práci.
Byla vydána (𝕏) červnová aktualizace aneb nová verze 1.102 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.102 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.
Byla vydána nová verze 2.4.64 svobodného multiplatformního webového serveru Apache (httpd). Řešeno je mimo jiné 8 bezpečnostních chyb.
Společnost xAI na síti 𝕏 představila Grok 4, tj. novou verzi svého AI LLM modelu Grok.
Ministerstvo vnitra odhalilo závažný kyberincident v IT systému resortu. Systém, do kterého se dostal útočník bez oprávnění, byl odpojen a nedošlo k odcizení dat [𝕏].
54/tcp open ssh SCS sshd 2.0.13 (protocol 1.5)akorát nevím proč je to jako xns-ch :o) . Nebo je to normální když mám na serveru povolenou jen službu ssh ?
netstat -ltp | grep 54
pustený ako root? Ak tam niečo počúva tak v poslednom stĺpci bude PID a meno procesu. Z toho by som sa pozrel do /proc/{pid}/exe - ci to náhodou nie je nejaká pliaga.
xns-ch 54/tcp XNS Clearinghouse xns-ch 54/udp XNS Clearinghouse # Susie Armstrong <Armstrong.wbst128@XEROX>
sudo netstat -ltp | grep 54 tcp 0 0 *:54 *:* LISTEN 2436/ttyload
.... I checked my site for obvious backdoors by typing netstat -lntpe. Aloha! There was a strange daemon named ttyload listening on port 4444. This process did not show up when I used the hacked ps command. ...Vyššie som písal ako sa pozrieť, kde ten súbor je.
V crontab nic pro roota ani jineho uživatele není , ve vypisu ps taky nic podezřeleho , žádný sleep není puštěn. Dle logu z /var/log/auth.log jde vidět že to patrně dělal nějaký robot .
Jeho IP 188.27.209.105 -- patrně z Rumunska
chci se zeptat jestli jde nějak zjistit jestli si tam nenechal nějaké vratkaV podstatě nelze. Možná by šlo rozbalit si na jiném stroji všechny balíčky, které jsou na napadeném serveru nainstalované, a zkontrolovat sha1 součty. Ale to je spíš kdyby sis chtěl hrát. Smazat, přeinstalovat, nastavit silné heslo, přihlašovat se SSH klíčem.
sudo netstat -lntpe tcp 0 0 0.0.0.0:54 0.0.0.0:* LISTEN 0 5907 2484/ttyload
ps aux |grep ttyload root 2484 0.0 0.1 2284 528 ? Ss 12:35 0:00 /sbin/ttyload -q
namp moje_verejna_ip Not shown: 1685 closed ports, 29 filtered ports PORT STATE SERVICE 22/tcp open ssha teď nevím jestli je to vpořádku nebo ne.
zakazal jsem přihlašni rootaNo tím jsi tomu fakt pomohl… (ironie) Zakazováním přihlášení roota se nepomůže ani zdravému systému, natož pak nakaženému.
Tak postupoval jsem podle těch navodu co jsou na webuTak v tom případě byl návod vadný. Je to velice rozšířený omyl. Kde kdo doporučuje zakázat přihlašování roota na SSH a v okamžiku, kdy se ho zeptáš, jak přesně by to mělo zvyšovat bezpečnost, není schopen odpovědět…
já klidně ten server přeinstaluji , to není problém , jen mě spíše zajímá jestli jde vysledovat nějaké nekalé praktiky. Když to smažu tak se už nic nedozvím :o)Já bych porovnal integritu souborů s distribučními a v případě nalezení backdooru bych si s tím pohrál ve VirtualBoxu a pak o tom napsal do blogu
Pokud by chtěl co spouštět tak by to bylo v crontabu /tedy alepoň myslím/ .Binárka cronu může být podvržená a mít nějaký cronjob klidně natvrdo v sobě.
Hledal jsem ten ttyload a zjistil jsem že Deban Lenny /tedy stable verze/ takový balík nemá, tudíž celkem netuším jak se tam dostal ...No to je jednoduché - nainstaloval ti ho tam útočník
sudo rm -f /sbin/ttymon rm: nelze odstranit „/sbin/ttymon“: Operace není povolenaAle dobře mi tak .o)) ať je to i ponaučením pro všechny co si dávájí slabé hesla.
Kde kdo doporučuje zakázat přihlašování roota na SSH a v okamžiku, kdy se ho zeptáš, jak přesně by to mělo zvyšovat bezpečnost, není schopen odpovědět…Zajímalo by mě, koho jste se ptal. Protože já vám klidně řeknu, že zákaz přihlašování roota na SSH heslem zvyšuje bezpečnost tak, že útočník na začátku nezná ani jméno uživatele, které by mohl pro svůj útok použít.
qwerty123
, řeš problém změnou hesla a ne přejmenováním roota.
Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed Searching for Showtee... Warning: Possible Showtee Rootkit installed
#tohle je ten soubor od t0rn v8 /usr/lib/libsh/.bashrcten první rootkit jsem smazal /šel smazat ../ Smazání /sbin/ttyload a ttymon zatím bz uspechu.
Pokud by to někoho zajimalo a chěl by nějaký výpis dejte vědět. Budu ještě celou neděli pozorovat co se děje :o))
snažím se teď jen zjisiti co to všechno děláNa 99% je to jen normální využití slabiny v hesle bez konkrétního zaměření na Vás. Útočník bude Váš stroj používat nadále pro instalaci botnetu (spam, DoS, ...) a crackování dalších strojů.
Jen se chci zeptat jestli existuje nějaký příkaz který /kromě rmPravděpodobně je soubor nastavený jako immutable, zkuste
chattr -i
Z venku již žádné útoky nejsou , otevřený je jen port 22Zapřemýšlejte o změně portu nebo omezení přístupu přes firewall.
Pokud by chtěl utočník znovu se přihlásit na můj stroj,co bych měl sledovat abych to poznal. Tail mi běží na skoro všech logách . Ale zatím vidím jen svoji činnost, kromě jednoho dnešního pokusu z číny o přihlášení na ssh2
sudo lsattr /usr/lib/libsh/.bashrc ------------------- /usr/lib/libsh/.bashrc sudo rm -f /usr/lib/libsh/.bashrc rm: nelze odstranit „/usr/lib/libsh/.bashrc“: Přístup odmítnut
Tiskni
Sdílej: