Všem na AbcLinuxu vše nejlepší k Valentýnu aneb Dni lásky ke svobodnému softwaru (I love Free Software Day, Mastodon, 𝕏).
Vývojáři openSUSE Tumbleweed oznámili, že u nových instalací se ve výchozím stavu přechází z AppArmor na SELinux. Uživatelé, kteří chtějí zůstat na AppArmor si mohou AppArmor vybrat v instalátoru.
Hector "marcan" Martin skončil jako vedoucí projektu Asahi Linux aneb Linux na Apple Siliconu. Projekt ale pokračuje dál.
PostgreSQL byl vydán ve verzích 17.3, 16.7, 15.11, 14.16 a 13.19. Řešena je zranitelnost CVE-2025-1094 s CVSS 8.1 a více než 70 chyb.
Dnes je Světový den rádia. Použili jste někdy GNU Radio?
Před 33 lety, ve čtvrtek 13. února 1992, se tehdejší Česká a Slovenská Federativní Republika oficiálně (a slavnostně) připojila k Internetu.
Byla vydána nová verze 9.10 z Debianu vycházející linuxové distribuce DietPi pro (nejenom) jednodeskové počítače. Přehled novinek v poznámkách k vydání.
Český LibreOffice tým vydává překlad příručky LibreOffice Math 24.8. Math je modul editoru vzorců v kancelářském balíku LibreOffice a poskytuje možnosti rozvržení pro zobrazení matematických, chemických, elektrických nebo vědeckých vzorců ve standardní písemné notaci. Příručka je ke stažení na stránce dokumentace.
Společnost Backblaze zveřejnila statistiky spolehlivosti pevných disků používaných ve svých datových centrech za rok 2024. Ke konci roku 2024 vlastnila 305 180 pevných disků. Průměrná AFR (Annualized Failure Rate), tj. pravděpodobnost, že disk během roku selže, byla 1,57 %. V roce 2023 to bylo 1,70 %. V roce 2022 to bylo 1,37 %.
Intel vydal 34 upozornění na bezpečnostní chyby ve svých produktech. Současně vydal verzi 20250211 mikrokódů pro své procesory řešící 5 bezpečnostních chyb.
54/tcp open ssh SCS sshd 2.0.13 (protocol 1.5)akorát nevím proč je to jako xns-ch :o) . Nebo je to normální když mám na serveru povolenou jen službu ssh ?
netstat -ltp | grep 54
pustený ako root? Ak tam niečo počúva tak v poslednom stĺpci bude PID a meno procesu. Z toho by som sa pozrel do /proc/{pid}/exe - ci to náhodou nie je nejaká pliaga.
xns-ch 54/tcp XNS Clearinghouse xns-ch 54/udp XNS Clearinghouse # Susie Armstrong <Armstrong.wbst128@XEROX>
sudo netstat -ltp | grep 54 tcp 0 0 *:54 *:* LISTEN 2436/ttyload
.... I checked my site for obvious backdoors by typing netstat -lntpe. Aloha! There was a strange daemon named ttyload listening on port 4444. This process did not show up when I used the hacked ps command. ...Vyššie som písal ako sa pozrieť, kde ten súbor je.
V crontab nic pro roota ani jineho uživatele není , ve vypisu ps taky nic podezřeleho , žádný sleep není puštěn. Dle logu z /var/log/auth.log jde vidět že to patrně dělal nějaký robot .
Jeho IP 188.27.209.105 -- patrně z Rumunska
chci se zeptat jestli jde nějak zjistit jestli si tam nenechal nějaké vratkaV podstatě nelze. Možná by šlo rozbalit si na jiném stroji všechny balíčky, které jsou na napadeném serveru nainstalované, a zkontrolovat sha1 součty. Ale to je spíš kdyby sis chtěl hrát. Smazat, přeinstalovat, nastavit silné heslo, přihlašovat se SSH klíčem.
sudo netstat -lntpe tcp 0 0 0.0.0.0:54 0.0.0.0:* LISTEN 0 5907 2484/ttyload
ps aux |grep ttyload root 2484 0.0 0.1 2284 528 ? Ss 12:35 0:00 /sbin/ttyload -q
namp moje_verejna_ip Not shown: 1685 closed ports, 29 filtered ports PORT STATE SERVICE 22/tcp open ssha teď nevím jestli je to vpořádku nebo ne.
zakazal jsem přihlašni rootaNo tím jsi tomu fakt pomohl… (ironie) Zakazováním přihlášení roota se nepomůže ani zdravému systému, natož pak nakaženému.
Tak postupoval jsem podle těch navodu co jsou na webuTak v tom případě byl návod vadný. Je to velice rozšířený omyl. Kde kdo doporučuje zakázat přihlašování roota na SSH a v okamžiku, kdy se ho zeptáš, jak přesně by to mělo zvyšovat bezpečnost, není schopen odpovědět…
já klidně ten server přeinstaluji , to není problém , jen mě spíše zajímá jestli jde vysledovat nějaké nekalé praktiky. Když to smažu tak se už nic nedozvím :o)Já bych porovnal integritu souborů s distribučními a v případě nalezení backdooru bych si s tím pohrál ve VirtualBoxu a pak o tom napsal do blogu
Pokud by chtěl co spouštět tak by to bylo v crontabu /tedy alepoň myslím/ .Binárka cronu může být podvržená a mít nějaký cronjob klidně natvrdo v sobě.
Hledal jsem ten ttyload a zjistil jsem že Deban Lenny /tedy stable verze/ takový balík nemá, tudíž celkem netuším jak se tam dostal ...No to je jednoduché - nainstaloval ti ho tam útočník
sudo rm -f /sbin/ttymon rm: nelze odstranit „/sbin/ttymon“: Operace není povolenaAle dobře mi tak .o)) ať je to i ponaučením pro všechny co si dávájí slabé hesla.
Kde kdo doporučuje zakázat přihlašování roota na SSH a v okamžiku, kdy se ho zeptáš, jak přesně by to mělo zvyšovat bezpečnost, není schopen odpovědět…Zajímalo by mě, koho jste se ptal. Protože já vám klidně řeknu, že zákaz přihlašování roota na SSH heslem zvyšuje bezpečnost tak, že útočník na začátku nezná ani jméno uživatele, které by mohl pro svůj útok použít.
qwerty123
, řeš problém změnou hesla a ne přejmenováním roota.
Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed Searching for Showtee... Warning: Possible Showtee Rootkit installed
#tohle je ten soubor od t0rn v8 /usr/lib/libsh/.bashrcten první rootkit jsem smazal /šel smazat ../ Smazání /sbin/ttyload a ttymon zatím bz uspechu.
Pokud by to někoho zajimalo a chěl by nějaký výpis dejte vědět. Budu ještě celou neděli pozorovat co se děje :o))
snažím se teď jen zjisiti co to všechno děláNa 99% je to jen normální využití slabiny v hesle bez konkrétního zaměření na Vás. Útočník bude Váš stroj používat nadále pro instalaci botnetu (spam, DoS, ...) a crackování dalších strojů.
Jen se chci zeptat jestli existuje nějaký příkaz který /kromě rmPravděpodobně je soubor nastavený jako immutable, zkuste
chattr -i
Z venku již žádné útoky nejsou , otevřený je jen port 22Zapřemýšlejte o změně portu nebo omezení přístupu přes firewall.
Pokud by chtěl utočník znovu se přihlásit na můj stroj,co bych měl sledovat abych to poznal. Tail mi běží na skoro všech logách . Ale zatím vidím jen svoji činnost, kromě jednoho dnešního pokusu z číny o přihlášení na ssh2
sudo lsattr /usr/lib/libsh/.bashrc ------------------- /usr/lib/libsh/.bashrc sudo rm -f /usr/lib/libsh/.bashrc rm: nelze odstranit „/usr/lib/libsh/.bashrc“: Přístup odmítnut
Tiskni
Sdílej: