Portál AbcLinuxu, 18. července 2025 16:44


Dotaz: Zdařilý hack mého testovacího serveru

21.11.2010 22:03 Martin H. | skóre: 27 | blog: linservis | Brno
Zdařilý hack mého testovacího serveru
Přečteno: 1085×
Odpovědět | Admin
Zdravím a mám dotaz.

Dnes jsem zjistil, že mě hackli server. Zkoumal jsem jak, no samozřejmě přes FTP (ProFTP). Šel jsem dál a pravděpodobně to bylo přes FTP v PHP/Apache. Jelikož to již nevyužívám a nějak jsem to zapomněl vypnout :-( ... vypnul jsem to a všechny nepotřebné PHP moduly také.

Ve výpisu FTP jsem našel uživatele wwwrun a toto: OPERULEZKCOPERULEZKC

Neví někdo, co to může být?

Díky za rady, případně i doporučení, co ještě na Apache zakázat, aby se to neopakovalo.
--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

21.11.2010 22:54 kuda
Rozbalit Rozbalit vše Re: Zdařiý hack mého testovacího serveru
Odpovědět | | Sbalit | Link | Blokovat | Admin
dobry den, nemohl byste prilozit konfig a verzi sluzby, ktera to mela mit na svedomi? pripadne distro jake pouzivate a jestli aktualizujete, pouzivate nejakou bezpecnostni vrstvu?
21.11.2010 23:43 Martin H.
Rozbalit Rozbalit vše Re: Zdařiý hack mého testovacího serveru
Verze je OpenSuSE 10.2 a samozřejmě aktualizuji ... jeikož se však jedná o spíš testovací server, kde si zkouším potřebné a kromětoho tam jedou moje stránky a mail (abych měl na če testovat), tak aktualizuju jednou za čas.

Toto je první úspěšný útok, pokusů je denně několik, především na FTP, MAIL/POP3 a samozřejmě SSH.

Konfiguráky by zde odkryly celý server v plné kráse a to zase moc vhodné není.

Zkuste mi poslat mail pro více info.
22.11.2010 14:11 miro
Rozbalit Rozbalit vše Re: Zdařiý hack mého testovacího serveru
Verze je OpenSuSE 10.2 a samozřejmě aktualizuji ...
Možná blbý dotaz, ale jak to aktualizujete?
25.11.2010 19:15 Martin H. | skóre: 27 | blog: linservis | Brno
Rozbalit Rozbalit vše Re: Zdařiý hack mého testovacího serveru 
Správná poznámka ... díky :-)
Samozřejme verze 11.2 --- překlep.
Jinak by to samozřejmě aktualizovat nešlo.
--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---
22.11.2010 00:05 Jirka Keresteš | skóre: 12
Rozbalit Rozbalit vše Re: Zdařiý hack mého testovacího serveru
Odpovědět | | Sbalit | Link | Blokovat | Admin
V ProFTPd byla nedavno objevena chyba, mozna to s tim nejak souvisi.
A physics book seems to be a mathematician's worst nightmare.
22.11.2010 12:41 Bery
Rozbalit Rozbalit vše Re: Zdařiý hack mého testovacího serveru
Odpovědět | | Sbalit | Link | Blokovat | Admin
jednou hacknuty server je vhodné kompletně přeinstalovat protože nemůžete vědět jestli tam není nějaký backdoor
22.11.2010 18:25 kuda
Rozbalit Rozbalit vše Re: Zdařiý hack mého testovacího serveru
a zjistit proc a jak se to stalo, aby se to nestalo znova ....
Řešení 1× (Martin H. (tazatel))
22.11.2010 16:05 Emmkey
Rozbalit Rozbalit vše Re: Zdařiý hack mého testovacího serveru
Odpovědět | | Sbalit | Link | Blokovat | Admin
Nejspíš to souvisí s touto chybou. Na stránce s exploity je soubor v Perlu a v něm podobný řetězec jako uvádíš ty.
25.11.2010 19:22 Martin H. | skóre: 27 | blog: linservis | Brno
Rozbalit Rozbalit vše Re: Zdařiý hack mého testovacího serveru
Díky, to bude asi ono. Do serveru nahráli index.php do všech virtuálů, dostali se tam přes FTP a účet wwwrun. Asi to byla opravdu chyba PERLu, který navíc už nepotřebuji, takže jsem ho vypnul. A v PHP jsem udělal nějaké restrikce, zatím to vypadá, že je vše OK.

Server jsem prošel a nenašel jsem žádné jiné změny. Přeinstalace by byl problém, je to virtuání server a distribuci mi dával providier - chtěl jsem 11.3, ale měli jen 11.2, nicméně stejně to budu muset začít co nevidět řešit.

Díky všem za info a pomoc.
--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.