abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    39C3 (Chaos Communication Congress)
    včera 18:44 | Komunita

    Od soboty do úterý probíhá v Hamburku konference 39C3 (Chaos Communication Congress) věnovaná také počítačové bezpečnosti nebo hardwaru. Program (jiná verze) slibuje řadu zajímavých přednášek. Streamy a záznamy budou k dispozici na media.ccc.de.

    Ladislav Hagara | Komentářů: 0
    Phoenix (Xserver)
    včera 13:22 | Zajímavý software

    Byl představen nový Xserver Phoenix, kompletně od nuly vyvíjený v programovacím jazyce Zig. Projekt Phoenix si klade za cíl být moderní alternativou k X.Org serveru.

    🇨🇽 | Komentářů: 1
    XLibre Xserver 25.1.0
    včera 13:11 | Nová verze

    XLibre Xserver byl 21. prosince vydán ve verzi 25.1.0, 'winter solstice release'. Od založení tohoto forku X.Org serveru se jedná o vůbec první novou minor verzi (inkrementovalo se to druhé číslo v číselném kódu verze).

    🇨🇽 | Komentářů: 0
    Wayback 0.3
    včera 03:33 | Nová verze

    Wayback byl vydán ve verzi 0.3. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.

    Ladislav Hagara | Komentářů: 0
    Ruby 4.0.0
    25.12. 14:44 | Nová verze

    Byla vydána verze 4.0.0 programovacího jazyka Ruby (Wikipedie). S Ruby Box a ZJIT. Ruby lze vyzkoušet na webové stránce TryRuby. U příležitosti 30. narozenin, první veřejná verze Ruby 0.95 byla oznámena 21. prosince 1995, proběhl redesign webových stránek.

    Ladislav Hagara | Komentářů: 0
    Krásné Vánoce
    24.12. 02:11 | Komunita

    Všem čtenářkám a čtenářům AbcLinuxu krásné Vánoce.

    Ladislav Hagara | Komentářů: 26
    Parrot OS 7.0
    24.12. 02:00 | Nová verze

    Byla vydána nová verze 7.0 linuxové distribuce Parrot OS (Wikipedie). S kódovým názvem Echo. Jedná se o linuxovou distribuci založenou na Debianu a zaměřenou na penetrační testování, digitální forenzní analýzu, reverzní inženýrství, hacking, anonymitu nebo kryptografii. Přehled novinek v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    postmarketOS 25.12
    23.12. 18:33 | Nová verze

    Vývojáři postmarketOS vydali verzi 25.12 tohoto před osmi lety představeného operačního systému pro chytré telefony vycházejícího z optimalizovaného a nakonfigurovaného Alpine Linuxu s vlastními balíčky. Přehled novinek v příspěvku na blogu. Na výběr jsou 4 uživatelská rozhraní: GNOME Shell on Mobile, KDE Plasma Mobile, Phosh a Sxmo.

    Ladislav Hagara | Komentářů: 0
    mpv 0.41.0
    23.12. 13:55 | Nová verze

    Byla vydána nová verze 0.41.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Přehled novinek, změn a oprav na GitHubu. Požadován je FFmpeg 6.1 nebo novější a také libplacebo 6.338.2 nebo novější.

    Ladislav Hagara | Komentářů: 0
    Lua 5.5
    23.12. 12:44 | Nová verze

    Byla vydána nová verze 5.5 (novinky) skriptovacího jazyka Lua (Wikipedie). Po pěti a půl letech od vydání verze 5.4.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kdo vám letos nadělí dárek?
     (34%)
     (2%)
     (14%)
     (2%)
     (2%)
     (2%)
     (16%)
     (17%)
     (11%)
    Celkem 106 hlasů
     Komentářů: 18, poslední 24.12. 15:29
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Nezvaná návštěva na serveru
    Štítky: heslo, Internet, log, pod, práva, přihlášení, rsync, server, sítě, SSH, stroj, uživatel

    Dotaz: Nezvaná návštěva na serveru

    13.4.2020 19:08 Jirka | skóre: 25
    Nezvaná návštěva na serveru
    Přečteno: 1990×
    Zdravím všechny,
    měl jsem tu hosta, kterej použil můj server a internetový připojení jako stroj pro ssh bruteforcing 3 IP adres někde v holandsku a vůbec se s tím nes*al, takže to skončilo odpojením celý sítě od internetu mým providerem.
    Teď zjišťuju, jakým způsobem ty pakety napadenej stroj odesílá, zatím jsem zjistil že:
    Pod běžným uživatelem běží procesy rsync a kswapd0, když je odstřelím, útok přestane. Tento uživatel měl velice mizerné heslo. Ale bylo cosi měněno i v /etc/shadow, protože má datum změny dnešní noc. Měl tedy práva roota. Nezjistil jsem, co tam změnil.
    Ve /var/log/auth.log je zaznamenáno "nekonečno" neúspěšných pokusů o ssh přihlášení na cílové IP adresy.
    Útočící procesy se po restartu objeví znova, v /etc/rc.local ani /etc/systemd/system nejsou.
    Asi budu potřebovat nakopnout, co ještě prohledat a jak se to mohlo stát. Díky.
    Dokud to funguje, nešťourej se v tom!...

    Řešení dotazu:

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    13.4.2020 19:33 pavele
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Proveď obraz disku pomocí dd a stroj kompletně přeinstaluj.

    Pro přístup používej příště pouze ssh klíče.

    13.4.2020 19:47 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Ta mašina musí zejtra jet a rád bych se taky vyspal. Připojení už mám, ty breberky byly na 99% spuštěný z domovskýho adresáře uživatele s mizerným heslem, v adresáři .configrc byl bordel vytvořenej právě v ten čas a byl mezi nima i ten kswapd0. Po přejmenování a restartu se už procesy nespouští. Nová hesla uživatelů samozřejmostí, u cifs z /etc/fstab, asterisku a z čínských voip adaptérů ten plain text taky vyházen (jo, hesla se opakujou...) Mrknu ještě na nastavení iptables,ten má taky nějaký mouchy... ještě jsem na něco zapomněl?
    Dokud to funguje, nešťourej se v tom!...
    Petr Tomášek avatar 14.4.2020 14:49 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To je zase jednou debilní hláška. Pokud máš silné heslo, je jedno, jestli používáš heslo nebo klíč.
    multicult.fm | monokultura je zlo | welcome refugees!
    14.4.2020 20:31 Michal
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Zas tak debilní není. Když povolíš jen přihlášení SSH klíčem, tam znemožňíš, aby měl uživatel na serveru slabé heslo ;-)

    A ta druhá část je také validní - jednou kompromitovanému serveru nelze důvěřovat.
    14.4.2020 20:42 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Souhlasím. Já navíc používám pro jistotu volbu AllowGroups.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
    13.4.2020 19:58 debian+
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Prejdi systemd configy zoradene podla zmeny. Pre kontrolu.

    Zisti vcetko o tej binarke. Zaarchivuj si proc. Pozri si .bash_history

    Co ti da: 
    ls | grep PODIVNE_PID
    Samozrejme, reinstal je najlepsie volba a nepouzivat jednoduche hesla.
    13.4.2020 21:00 Kit | skóre: 46 | Brno
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Pokud se nedostal do roota, tak reinstalace nedává smysl.
    Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
    14.4.2020 21:25 debian+
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    oprava: 
    lsof | grep PODIVNE_PID
    13.4.2020 20:05 Kit | skóre: 46 | Brno
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    /etc/shadow má jiné datum, protože měnil heslo napadeného uživatele. Právo roota tedy mít nemusel, stačilo použt standardní službu.

    Samozřejmě doporučuji přihlašování pomocí klíčů i běžných uživatelů.
    Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
    Petr Tomášek avatar 14.4.2020 14:52 Petr Tomášek | skóre: 39 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Samozřejmě doporučuji přihlašování pomocí klíčů i běžných uživatelů.
    Lepší je mít silná hesla a pak takovýto blbosti nejsou potřeba.
    multicult.fm | monokultura je zlo | welcome refugees!
    14.4.2020 18:53 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Čím častěji zadáváš heslo, tím vyšší pravděpodobnost, že ho napíšeš kam nemáš, nebo že ti ho někdo odchytne.
    14.4.2020 21:55 Kit | skóre: 46 | Brno
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Klíče jsou pohodlné a když k nim máš agenta, tak se přihlašuješ jen jednou do všech přidělených serverů.
    Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.
    14.4.2020 23:23 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To je je jenom dalsi kravina, kterou jsi vyplodil.
    Nekdo ma dejme tomu deravou PHP aplikaci a sosnou si jeho /etc/shadow. S root heslem je v <>, s klicem neprustrelny.
    PS: vsem doporucuju si tohohle kretena zablokovat!
    15.4.2020 05:41 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Kto má pre boha v roku 2020 čitateľné /etc/shaddow pre užívateľa, hoci aj toho pod ktorým beží web server s php?

    Si môžeš s ním ruku podať, kľúč si nájde na disku každý mallware harwester.
    15.4.2020 15:12 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Napsal jsem 'dejme tomu'. Je spousta moznosti, jak kompromitovat root heslo. Jde jenom o to, aby ti bylo pres SSH k nicemu.
    Jendа avatar 15.4.2020 16:31 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Náhodou ony opravdu existují náhodné počítače, které ti dají svůj shadow. Ale PT psal o silném hesle -- tohle asi silné nebylo, když jsem ho našel ve slovníku.
    15.4.2020 19:47 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Klic na disku je samozrejme se silnou passphrase, ale radove lepsi je mit ho na necem jako Yubikey.
    A to uz vubec neresim, ze se na ruzne servery prihlasuju treba 100x za hodinu. Bez SSH agenta bych se asi brzy zblaznil.
    15.4.2020 20:18 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Sto krát za hodinu, to je častejšie ako každú minútu. Také niečo je už zrelé na automatizáciu, inak by sa človek zbláznil z ručne zadávaných príkazov.
    15.4.2020 21:19 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Ocividne zapominas na git.
    Jendа avatar 15.4.2020 22:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    ale radove lepsi je mit ho na necem jako Yubikey
    Na Yubikey se přímo generuje - náhodným generátorem, který nikdo nikdy neauditoval?
    15.4.2020 23:02 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Samozrejme si na nej muzes nahrat vlastni klic.
    Jendа avatar 15.4.2020 16:25 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Vypisuji bounty 500 Kč pro toho, kdo najde heslo roota když mu sem nahraju svůj shadow. Nabídka platí 90 dní. 
    root:$6$0X/2i48HZk2CX6/C$lns73irmeqN6KFXhgw7y3m6zAIYbeT1bij.BAk2VwzlBhagOmd2AnVWiOnSotJntfSpK1XE95K9V4rBkvrUsz1:15883:0:99999:7:::
    15.4.2020 23:00 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Hubero kororo? ;-)
    🇨🇽 avatar 16.4.2020 12:46 🇨🇽 | skóre: 37 | blog: Grétin blogísek | 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

    takovýho papíru hele :O ;D

    Pirátcká špína nevovládá základy pravopisu🤡 Maorové kulturně obohatili terroristickou handru🇳🇿
    16.4.2020 07:23 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To není moc dobrá nabídka. Za 90 dní propálí běžnej krumpáč na elektrice násobně víc.
    Dokud to funguje, nešťourej se v tom!...
    16.4.2020 07:40 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    No alespoň vidíš, na kolik si je jist. Mě asi před deseti lety taky napadli jeden zapomenutý virtuálek. Byl to testovací image s uživatelem test a heslem test, takže žádná složitost.
    Jendа avatar 16.4.2020 20:00 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    No tak mi řekni za kolik bys to zlomil. (vzor vznikl pomocí příkazu cat /dev/urandom | tr -dc a-zA-Z0-9 | head -c 16)
    17.4.2020 12:00
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Doufám, že si to heslo pamatuješ. ;-)
    17.4.2020 12:40 _
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Si ho vygeneruje znova, za nějakou chvíli se musí znovu objevit.
    17.4.2020 13:00 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Prečo by si to heslo nemohol pamätať? Veď on si tak pomenoval vlastného kocúra.
    Jendа avatar 18.8.2020 23:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Plaintext byl YAi9dJEoxsQ3aelm.
    Jendа avatar 15.4.2020 16:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Tohle mě fakt zajímá: jak používáš hesla, že klíče jsou „takovýto blbosti“? Máš nějaký password manager, který podporuje ssh? I když bych souhlasil, že silná hesla jsou dostatečně bezpečná, tak mi to přijde jako nekonečný opruz -- s klíčem přidám do image ze kterého instaluju počítače svůj veřejný, zatímco s heslem je potřeba řešit že ho po instalaci vygeneruju a musím ho někam uložit a s tím strojem spárovat (protože musí být pro každý stroj unikátní, zatímco klíč jsem vyrobil jednou a někam pověsil veřejnou část a je mi jedno že se třeba i válí na internetu). To všechno za situace, kdy řádkové utility (ssh, sftp…) nemají žádné API na to, jak jim heslo dávat, zatímco klíč stačí umístit do ~/.ssh a všechno funguje automaticky.
    Josef Kufner avatar 13.4.2020 22:16 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Měl tedy práva roota. Nezjistil jsem, co tam změnil.
    Takže to kompletně přeinstaluj.

    V první řadě si udělej kompletní kopii systému. Jednak abys to mohl prozkoumat, a pak abys mohl při přeinstalaci obnovovat nastavení.

    Pokud máš záložní kopii, což bys opravdu měl mít, tak můžeš porovnat změny v systém oproti té záloze.

    Nejlepší řešení je obnovit server ze zálohy, ponechat uživatelská data a opravdu důkladně se podívat, kde máš díru, neboť v té obnovené verzi bude ještě nepoužitá (snad).
    Hello world ! Segmentation fault (core dumped)
    13.4.2020 22:42 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    "Nejlepší řešení je obnovit server ze zálohy"
    Je.
    Ale kdo z nás je poctivě dělá a hlavně aktualizuje? Párkrát jsem to zkoušel, ale za chvíli byl v těch zálohách takovej ..., že byl jednodušší vanilla install a pak to tam skriptem všecko nahrát a jen nakopírovat konfiguráky.
    Tady se přikláním k variantě, že k hacknutí roota přece jen nedošlo, takže jsem zatím pozměňoval nejslabší hesla, nahodil přes noc do fake brány, která loguje pokusy směrem ven a zbytek zabezpečení + vynadání uživatelům se dořeší zejtra. Zatím díky. :-)
    Dokud to funguje, nešťourej se v tom!...
    Josef Kufner avatar 14.4.2020 08:24 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Ale kdo z nás je poctivě dělá a hlavně aktualizuje?
    Každý?

    Ale vážně. Zálohy by měly být plně automatické a inkrementální alespoň pár týdnů nazpět. To je věc, která se jednou nastaví a pak už se na to nesahá. Jen se čas od času koukne, že to i po letech ještě funguje. A není to nic komplikovaného. Vlastně stačí z cronu volat rsync na sousední server a dělat si snapshoty. Stejně tak s notebooky a vůbec všemi počítači. Nastavení je na pár minut a zachrání to mnoho dat i nervů.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 15.4.2020 16:34 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Ale kdo z nás je poctivě dělá a hlavně aktualizuje?
    Já. Teda aktualizaci řeší cron každou noc, o to se samozřejmě ručně nestarám.
    Párkrát jsem to zkoušel, ale za chvíli byl v těch zálohách takovej ..., že byl jednodušší vanilla install a pak to tam skriptem všecko nahrát a jen nakopírovat konfiguráky.
    To mě překvapuje, já jednoduše rsyncuju celé /, a obnova vypadá tak, že prohodím u rsyncu zdroj a cíl.
    16.4.2020 09:34 .
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    já jednoduše rsyncuju celé /, a obnova vypadá tak, že prohodím u rsyncu zdroj a cíl
    Jak dlouho ti oboji trva a na cem (objem dat, FS)?
    Josef Kufner avatar 16.4.2020 09:39 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    U mne inkrementální záloha celého notebooku (jeden teď má na disku 400 GB, druhý 100 GB) po WiFi trvá obvykle 10 až 20 minut.

    Kompletní obnova je na pár hodin. To se vyplatí vyndat disk a připojit do serveru, nebo alespoň najít síťový kabel.
    Hello world ! Segmentation fault (core dumped)
    16.4.2020 09:51 .
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    inkrementální záloha
    Pres rsync to neni uplne inkrementalni, ne? https://serverfault.com/a/138412
    Josef Kufner avatar 16.4.2020 11:31 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Inkrementální záloha je o tom, že se s každou zálohou uchovávají jen rozdíly oproti předchozí záloze. Ten odkazovaný komentář je ptákovina.

    Možností jak implementovat ty rozdíly je několik. Relační databáze často používají log operací, který pak znovu přehrajou. Btrfs shapshoty si drží seznam změněných bloků. Rsync porovnává metadata a následně i data souborů, inkrementy pak umí pomocí hardlinků, nebo jde kombinovat se snapshoty filesystému. Git počítá hashe obsahu a ty používá k adresování a následně aplikuje delta kompresi, aby to bylo efektivní. Rdiff-backup zas ukládá aktuální verzi a rozdíly od předchozí, takže je krutě pomalý. Pointa je, že nezměněné soubory zabírají místo na disku jen jednou.
    Hello world ! Segmentation fault (core dumped)
    Jendа avatar 16.4.2020 20:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    5 TB celkem (asi 6 serverů), denní diff měl tak 10 GB, záloha trvala tak hodinu (v září jsem tam skončil). Core 2 Quad, rotační disky, na serverech je ext4, zálohuje se na btrfs se snapshoty.
    Jendа avatar 16.4.2020 20:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    A obnovu jsem dělal celou jednou (jinak jsem obnovoval jen individuální soubory), a to jelo tak 50 MB/s (po gigabitové síti). Pomalé je když je tam spousta malých souborů.
    14.4.2020 09:37 Teddy_CZ
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Podíval bych se na crontab u patřičného uživatele. Když se dá místo času @reboot tak se skript spustí po restartu počítače.
    Max avatar 14.4.2020 11:11 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Mně by spíše zajímalo, co na tom provozuješ za služby, že se ti něco dostalo do shellu?
    Zdar Max
    Měl jsem sen ... :(
    14.4.2020 18:43 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Je tam toho docela dost, IP telefonie, samba+nfs a pak bokem ještě dlna a torenty, aby to nejelo tak naprázdno...
    Projíždím teď logy a byl to slovník jak vyšitej, pokus č.22029, zapomnělo se na fail2ban, stane se... :-D
    Do roota se fakt nedostal, změnil heslo napadeného uživatele, skouknul, co tam je, odhlásil se a zkoušel další loginy a hesla.
    A pak k tomu botu nejspíš přišla obsluha, spustila ten skript a prozměnu útočila pomocí mýho stroje na někoho dalšího.
    Dokud to funguje, nešťourej se v tom!...
    otasomil avatar 14.4.2020 19:10 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Zdravim Jak lidi tady pisou, vsem uzivatelum zmenit hesla za silna, prosel bych uzivatelske adresare a Crontab viz @reboot namisto casu, data. Taky zvazte jestli onen uzivatel nemel Sudo. Utocnik ktery se prihlasil jako bezny uzivatel sic v systemu nepopacha prakticky nic spatnyho kvuli cemu by se mel os povazovat za napadeny a bylo nutne jej reinstalovat/obnovit ze zalohy. Muze vsak zacit provozovat jakoukoli webovou sluzbu na portech vyssich jak 1024 a provadet utoky na dalsi ip aniz by roota vubec potreboval. Taky muze byt utocnikuv soubor spousten ne pri startu os ale pri prihlaseni na konkretniho uzivatele, prohlednete tedy .bashrc
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    14.4.2020 20:46 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    A případně konfiguraci dalších programů, které umožňují zasahovat do systému – např. vimrc, at úlohy, ….

    Je celkem rozumné mít povolené příchozí spojení (např. pomocí iptables) jen na portech, které mají být používány.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
    14.4.2020 21:00 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Projíždím to, asi těch breberek bude víc. Problém s ssh bruteforcingem vyřešen, ale tcpdump zachytává odchozí pakety do číny a ruska, tentokrát vlastník přímo root. Asi nebyl dobrej nápad dávat do všech krabiček stejný hesla shodný s rootem... :-D
    Dokud to funguje, nešťourej se v tom!...
    Řešení 1× (Jirka (tazatel))
    Josef Kufner avatar 14.4.2020 21:12 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Na to jsou dobré ty klíče.
    Hello world ! Segmentation fault (core dumped)
    14.4.2020 21:20 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Na ja, mrknu na to, díky všem, zas je co dělat. :-)
    Dokud to funguje, nešťourej se v tom!...
    15.4.2020 18:17 pavele
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Nehledě na to, že SSH přihlašování pomocí hesla je náchylné na MITM útok.
    otasomil avatar 14.4.2020 21:26 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Asi nebyl dobrej nápad dávat do všech krabiček stejný hesla shodný s rootem... :-D
    To rozhodne nebyl. Taky je vhod nemit nikoho v sudousers. Heslo roota napadne delsi a slozitejsi nez uzivatelu. Pamatujte - i silna hesla jsou zadarmo. Pohodlnost v podobe jednoducheho hesla se nevyplaci. Prihlaseni pomoci klicu je fajn ale zase ma nedostatek v tom ze ze systemu od ktereho se prihlasujete obvykle pracujete jako bezny uzivatel tudiz .ssh je snadno zkopirovatelny coz je mnohem snadnejsi operace jak chytat stisky klaves a cekat na pravy cas.
    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    15.4.2020 17:37 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Proto je dobré mít šifrované soubory v /home nebo alespoň šifrovaný klíč. Pak se agent musí zeptat na heslo (a rozšifrovaný klíč si drží v RAM). Není to 100% ochrana, ale tím se vyřeší problém s možností zkopírování ~/.ssh.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
    15.4.2020 08:38 Ladislav
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Zdravim, nedavno som riesil podobne incidenty, ktore zodpovedaju Vasmu popisu. Ak ten stroj este bezi a nebol preinstalovany, tak sem pridam zopar tipov:
    • bezny pouzivatel, pod ktorym to bezi, by mal mat vo svojom home skryty adresar, ktory obsahuje kswapd0 aj dalsi bordel ako obsluzne skripty a podobne (v podadresaroch s nazvami a, b, pripadne aj c)
    • perzistencia (automaticke spustanie) je cez crontab tohoto bezneho pouzivatela
    • v .ssh/authorized_keys bude pravdepodobne pridany ssh kluc, ktory pouzivaju utocnici na opatovne pripajanie sa cez ssh. Pravdepodobne bude pri tomto kluci uvedene aj "mdrfckr"
    • v /tmp (alebo vo /var/tmp) by mal byt adresar .X[??]-unix, kde [??] bude nejake cislo, napr 20. A v tomto adresari maliciozne subory poodobne tym, ktore su u bezneho pouzivatela - napr nejaky .tar.gz archiv s malverom a obsluznymi skriptami, aj rozbaleny do nejakeho skryteho adresara, napr. /tmp/X[??]-unix/.rsync/ Opat by tu mali byt nejake podadresare a,b,c,
    • toho bordelu by tam malo byt viac, napr Coinminer (XMRig, to by mal byt ten kswapd0), Perl shellbot vyuzivajuci IRC na ovladanie (pravdepodobne Vami popisovany rsync), ssh-bruteforcer, skript/program modifikujuci ten ssh authorized_keys subor a podobne.

    • a este mala rada na zaver: ak to nie je kriticke zariadenie, je lepsie ho preinstalovat, obnovit data zo zaloh spred utoku a hardenovat system, nez zistovat, co vsetko tam utocnik spravil, odstranovat ten bordel a riskovat, ze nieco ostane nenajdene a utocnik sa tam zasa vrati :-)
    15.4.2020 22:24 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Přesně tohle jsem tam našel. Zjistil jsem datum a čas průniku a vyhledal vše s odpovídajícím časem, nakonec jsem smáznul uživatelův crontab. Po vyčištění na ten server prakticky furt někdo útočí, tak 5 pokusů za minutu na různých portech. Ale snad už v cajku. :-)
    Dokud to funguje, nešťourej se v tom!...
    15.4.2020 22:35 otazka
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Nemohly jste si to tam zanest samy spustenim neceho stahnuteho z internetu, nebo jste oba aktualizovaly z napadeneho repa? Jen se ptam?
    16.4.2020 00:22
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    No to mi ho vYndej..
    16.4.2020 06:30 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Tohle nejsou widle :-D
    Dokud to funguje, nešťourej se v tom!...
    16.4.2020 09:13 Ladislav
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    vo vseobecnosti je vela moznosti, ako sa moze dostat podobny bordel do systemu. Avsak tentoraz (minimalne v pripadoch, ktore sa dostali ku mne) slo o prelomenie slabeho hesla nejakeho pouzivatela. Napokon, medzi tym malverom na zariadeni je aj jeden, ktory robi bruteforce utoky na ssh. A nielen hesla, ale aj hlada ssh kluce na napadnutom zariadeni. Takze Jirka, ak ste tam nahodou mali ulozeny aj nejaky privatny ssh kluc, povazujte ho za kompromitovany.

    Aj podla toho, co Jirka pise, tak aj v jeho pripade mal dany pouzivatel slabe heslo.

    Doplnil by som len, ze toto nie je uplne neznama a nova kampan utocnikov, ale rovnake ci velmi podobne utoky sa vyskytuju uz niekolko mesiacov. Priklad z januara: http://jakob.space/blog/investigating-a-shellbot-aa-infection.html
    17.4.2020 13:13 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Ráno jsem mrknul do logu fail2ban, za 12 hodin 300 zabanovaných adres, co to k**va je? :-O
    Dokud to funguje, nešťourej se v tom!...
    17.4.2020 13:45 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Nejspíš Tor, případně se mu už povedlo nabourat se i k někomu jinému.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
    17.4.2020 13:51 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To vypadá, jako bys nebyl spokojen ;-) Nebo bys je měl raději u sebe opět na návštěvě?
    17.4.2020 14:02 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Mě překvapuje ta intenzita, před půl rokem jednou dvakrát za den pokus o ftp přihlášení a teď takovej ssh bombing, máte to na svých strojích taky?
    Dokud to funguje, nešťourej se v tom!...
    vencour avatar 17.4.2020 14:35 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Ano, máme, proto se s tim tak nemažem.
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    17.4.2020 14:00 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To je bežný distribuovaný útok z botnetu. A ukazuje to, že si fail2ban spĺňa svoju prácu.

    Odporučil by som vyextrahovať zabanované IPky a pozrieť k nim geolokáciu. Človek sa tak môže zamyslieť či by nebolo rozumné rovno zablokovať niektoré krajiny (z ktorých sa určite nikto legitímny nebude prihlasovať na server). Alebo zablokovať všetko, a povoliť iba niektoré segmenty. Poprípade tam nasadiť napr. port knocking.
    17.4.2020 14:03 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Je to hlavně čína a rusko, abuseipdb u nich hlásí stovky narušení všude možně.
    Dokud to funguje, nešťourej se v tom!...
    Jendа avatar 17.4.2020 14:03 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Já mám SSH na jiném portu ne kvůli bezpečnosti, ale protože je tohle otrava. Plus na slabém HW/konektivitě to žere prostředky.
    17.4.2020 14:05 Jirka | skóre: 25
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To já právě taky, hodně vysokej port a vůbec to nemá vliv.
    Dokud to funguje, nešťourej se v tom!...
    17.4.2020 15:48 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Zkus portknock a prihlasovani pouze pres klice a mas klid.
    17.4.2020 20:14 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    Já mám 22, ale omezuji uživatele pomocí AllowGroups, takže mi nepůsobí až tak velkou zátěž.

    Jinak pár (50) IP adres, odkud se ke mě přihlašují: 
    101  13.80.123.119
99   222.186.180.130
92   222.186.42.155
92   222.186.30.167
91   167.86.96.128
90   222.186.42.7
90   222.186.15.115
87   185.153.196.230
86   222.186.42.136
84   222.186.30.218
84   222.186.190.14
83   222.186.15.158
82   222.186.42.137
82   222.186.180.142
81   222.186.52.39
81   222.186.15.10
79   222.186.31.83
79   222.186.30.112
74   222.186.30.35
73   222.186.52.139
73   222.186.15.114
72   222.186.30.76
69   222.186.31.166
66   222.186.15.62
58   222.186.30.57
47   222.186.175.23
29   45.136.108.85
10   41.231.5.110
5    85.209.0.142
5    49.88.112.72
5    49.88.112.68
4    85.209.0.248
4    192.95.47.224
2    95.163.118.126
2    94.23.212.137
2    89.231.96.134
2    88.198.20.72
2    85.25.199.69
2    85.214.254.74
2    67.23.31.238
2    61.183.35.8
2    60.249.43.19
2    59.90.182.225
2    51.91.110.51
2    51.83.42.108
2    51.178.55.92
2    51.178.2.79
2    51.15.126.41
2    51.15.108.244
2    49.234.233.164
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.
    17.4.2020 20:17 jiwopene | skóre: 31 | blog: Od každého trochu…
    Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru
    To číslo je počet pokusů z dané adresy.
    .sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.