Přihlášení | Registrace

napište » Zprávičky

CVE-2025-14847 aneb MongoBleed

dnes 03:33 | Bezpečnostní upozornění

V dokumentově orientované databázi MongoDB byla nalezena a v upstreamu již opravena kritická bezpečností chyba CVE-2025-14847 aneb MongoBleed.

Ladislav Hagara | Komentářů: 0

Nalezena kopie Unixu V4

včera 23:11 | IT novinky

Při úklidu na Utažské univerzitě se ve skladovacích prostorách náhodou podařilo nalézt magnetickou pásku s kopií Unixu V4. Páska byla zaslána do počítačového muzea, kde se z pásky úspěšně podařilo extrahovat data a Unix spustit. Je to patrně jediný známý dochovaný exemplář tohoto 52 let starého Unixu, prvního vůbec programovaného v jazyce C.

🇨🇽 | Komentářů: 0

FFmpeg nechal smazat repozitář porušující LGPL

včera 15:55 | Komunita

FFmpeg nechal kvůli porušení autorských práv odstranit z GitHubu jeden z repozitářů patřících čínské technologické firmě Rockchip. Důvodem bylo porušení LGPL ze strany Rockchipu. Rockchip byl FFmpegem na porušování LGPL upozorněn již téměř před dvěma roky.

🇨🇽 | Komentářů: 5

witr (why-is-this-running)

včera 15:44 | Zajímavý software

K dispozici je nový CLI nástroj witr sloužící k analýze běžících procesů. Název je zkratkou slov why-is-this-running, 'proč tohle běží'. Klade si za cíl v 'jediném, lidsky čitelném, výstupu vysvětlit odkud daný spuštěný proces pochází, jak byl spuštěn a jaký řetězec systémů je zodpovědný za to, že tento proces právě teď běží'. Witr je napsán v jazyce Go.

🇨🇽 | Komentářů: 0

Yazi 25.12.29

včera 15:33 | Zajímavý software

Yazi je správce souborů běžící v terminálu. Napsán je v programovacím jazyce Rust. Podporuje asynchronní I/O operace. Vydán byl v nové verzi 25.12.29. Instalovat jej lze také ze Snapcraftu.

Ladislav Hagara | Komentářů: 0

39C3 (Chaos Communication Congress)

26.12. 18:44 | Komunita

Od soboty do úterý probíhá v Hamburku konference 39C3 (Chaos Communication Congress) věnovaná také počítačové bezpečnosti nebo hardwaru. Program (jiná verze) slibuje řadu zajímavých přednášek. Streamy a záznamy budou k dispozici na media.ccc.de.

Ladislav Hagara | Komentářů: 0

Phoenix (Xserver)

26.12. 13:22 | Zajímavý software

Byl představen nový Xserver Phoenix, kompletně od nuly vyvíjený v programovacím jazyce Zig. Projekt Phoenix si klade za cíl být moderní alternativou k X.Org serveru.

🇨🇽 | Komentářů: 7

XLibre Xserver 25.1.0

26.12. 13:11 | Nová verze

XLibre Xserver byl 21. prosince vydán ve verzi 25.1.0, 'winter solstice release'. Od založení tohoto forku X.Org serveru se jedná o vůbec první novou minor verzi (inkrementovalo se to druhé číslo v číselném kódu verze).

🇨🇽 | Komentářů: 0

Wayback 0.3

26.12. 03:33 | Nová verze

Wayback byl vydán ve verzi 0.3. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.

Ladislav Hagara | Komentářů: 0

Ruby 4.0.0

25.12. 14:44 | Nová verze

Byla vydána verze 4.0.0 programovacího jazyka Ruby (Wikipedie). S Ruby Box a ZJIT. Ruby lze vyzkoušet na webové stránce TryRuby. U příležitosti 30. narozenin, první veřejná verze Ruby 0.95 byla oznámena 21. prosince 1995, proběhl redesign webových stránek.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Kdo vám letos nadělí dárek?

Ježíšek (33%)

Santa Claus (1%)

Děda Mráz (22%)

La Befana (1%)

Odin (1%)

Laskakit (1%)

Někdo z rodiny (11%)

Já sám (12%)

Nikdo (17%)

Celkem 174 hlasů

Komentářů: 18, poslední 24.12. 15:29

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Nezvaná návštěva na serveru

Štítky: heslo, Internet, log, pod, práva, přihlášení, rsync, server, sítě, SSH, stroj, uživatel

Dotaz: Nezvaná návštěva na serveru

13.4.2020 19:08 Jirka | skóre: 25
Nezvaná návštěva na serveru

Přečteno: 1991×

Odpovědět | Admin

Zdravím všechny,
měl jsem tu hosta, kterej použil můj server a internetový připojení jako stroj pro ssh bruteforcing 3 IP adres někde v holandsku a vůbec se s tím nes*al, takže to skončilo odpojením celý sítě od internetu mým providerem.
Teď zjišťuju, jakým způsobem ty pakety napadenej stroj odesílá, zatím jsem zjistil že:
Pod běžným uživatelem běží procesy rsync a kswapd0, když je odstřelím, útok přestane. Tento uživatel měl velice mizerné heslo. Ale bylo cosi měněno i v /etc/shadow, protože má datum změny dnešní noc. Měl tedy práva roota. Nezjistil jsem, co tam změnil.
Ve /var/log/auth.log je zaznamenáno "nekonečno" neúspěšných pokusů o ssh přihlášení na cílové IP adresy.
Útočící procesy se po restartu objeví znova, v /etc/rc.local ani /etc/systemd/system nejsou.
Asi budu potřebovat nakopnout, co ještě prohledat a jak se to mohlo stát. Díky.

Dokud to funguje, nešťourej se v tom!...

Řešení dotazu:

Komentář #20 (Josef Kufner, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

13.4.2020 19:33 pavele
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Proveď obraz disku pomocí dd a stroj kompletně přeinstaluj.

Pro přístup používej příště pouze ssh klíče.

13.4.2020 19:47 Jirka | skóre: 25
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Ta mašina musí zejtra jet a rád bych se taky vyspal. Připojení už mám, ty breberky byly na 99% spuštěný z domovskýho adresáře uživatele s mizerným heslem, v adresáři .configrc byl bordel vytvořenej právě v ten čas a byl mezi nima i ten kswapd0. Po přejmenování a restartu se už procesy nespouští. Nová hesla uživatelů samozřejmostí, u cifs z /etc/fstab, asterisku a z čínských voip adaptérů ten plain text taky vyházen (jo, hesla se opakujou...) Mrknu ještě na nastavení iptables,ten má taky nějaký mouchy... ještě jsem na něco zapomněl?

Dokud to funguje, nešťourej se v tom!...

14.4.2020 14:49 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

To je zase jednou debilní hláška. Pokud máš silné heslo, je jedno, jestli používáš heslo nebo klíč.

multicult.fm | monokultura je zlo | welcome refugees!

14.4.2020 20:31 Michal
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Zas tak debilní není. Když povolíš jen přihlášení SSH klíčem, tam znemožňíš, aby měl uživatel na serveru slabé heslo ;-)

A ta druhá část je také validní - jednou kompromitovanému serveru nelze důvěřovat.

14.4.2020 20:42 jiwopene | skóre: 31 | blog: Od každého trochu…
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Souhlasím. Já navíc používám pro jistotu volbu AllowGroups.

.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.

13.4.2020 19:58 debian+
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Prejdi systemd configy zoradene podla zmeny. Pre kontrolu.

Zisti vcetko o tej binarke. Zaarchivuj si proc. Pozri si .bash_history

Co ti da:

ls | grep PODIVNE_PID

Samozrejme, reinstal je najlepsie volba a nepouzivat jednoduche hesla.

13.4.2020 21:00 Kit | skóre: 46 | Brno
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Pokud se nedostal do roota, tak reinstalace nedává smysl.

Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.

14.4.2020 21:25 debian+
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

oprava:

lsof | grep PODIVNE_PID

13.4.2020 20:05 Kit | skóre: 46 | Brno
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

/etc/shadow má jiné datum, protože měnil heslo napadeného uživatele. Právo roota tedy mít nemusel, stačilo použt standardní službu.

Samozřejmě doporučuji přihlašování pomocí klíčů i běžných uživatelů.

Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.

14.4.2020 14:52 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Samozřejmě doporučuji přihlašování pomocí klíčů i běžných uživatelů.

Lepší je mít silná hesla a pak takovýto blbosti nejsou potřeba.

multicult.fm | monokultura je zlo | welcome refugees!

14.4.2020 18:53 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Čím častěji zadáváš heslo, tím vyšší pravděpodobnost, že ho napíšeš kam nemáš, nebo že ti ho někdo odchytne.

14.4.2020 21:55 Kit | skóre: 46 | Brno
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Klíče jsou pohodlné a když k nim máš agenta, tak se přihlašuješ jen jednou do všech přidělených serverů.

Komentáře označují místa, kde programátor udělal chybu nebo něco nedodělal.

14.4.2020 23:23 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

To je je jenom dalsi kravina, kterou jsi vyplodil.
Nekdo ma dejme tomu deravou PHP aplikaci a sosnou si jeho /etc/shadow. S root heslem je v <>, s klicem neprustrelny.
PS: vsem doporucuju si tohohle kretena zablokovat!

15.4.2020 05:41 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Kto má pre boha v roku 2020 čitateľné /etc/shaddow pre užívateľa, hoci aj toho pod ktorým beží web server s php?

Si môžeš s ním ruku podať, kľúč si nájde na disku každý mallware harwester.

15.4.2020 15:12 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Napsal jsem 'dejme tomu'. Je spousta moznosti, jak kompromitovat root heslo. Jde jenom o to, aby ti bylo pres SSH k nicemu.

15.4.2020 16:31 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Náhodou ony opravdu existují náhodné počítače, které ti dají svůj shadow. Ale PT psal o silném hesle -- tohle asi silné nebylo, když jsem ho našel ve slovníku.

15.4.2020 19:47 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Klic na disku je samozrejme se silnou passphrase, ale radove lepsi je mit ho na necem jako Yubikey.
A to uz vubec neresim, ze se na ruzne servery prihlasuju treba 100x za hodinu. Bez SSH agenta bych se asi brzy zblaznil.

15.4.2020 20:18 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Sto krát za hodinu, to je častejšie ako každú minútu. Také niečo je už zrelé na automatizáciu, inak by sa človek zbláznil z ručne zadávaných príkazov.

15.4.2020 21:19 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Ocividne zapominas na git.

15.4.2020 22:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

ale radove lepsi je mit ho na necem jako Yubikey

Na Yubikey se přímo generuje - náhodným generátorem, který nikdo nikdy neauditoval?

15.4.2020 23:02 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Samozrejme si na nej muzes nahrat vlastni klic.

15.4.2020 16:25 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Vypisuji bounty 500 Kč pro toho, kdo najde heslo roota když mu sem nahraju svůj shadow. Nabídka platí 90 dní.

root:$6$0X/2i48HZk2CX6/C$lns73irmeqN6KFXhgw7y3m6zAIYbeT1bij.BAk2VwzlBhagOmd2AnVWiOnSotJntfSpK1XE95K9V4rBkvrUsz1:15883:0:99999:7:::

15.4.2020 23:00 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Hubero kororo? ;-)

16.4.2020 12:46 🇨🇽 | skóre: 37 | blog: Grétin blogísek | 🇮🇱==❤️ , 🇵🇸==💩 , 🇪🇺==☭
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

takovýho papíru hele :O ;D

Pirátcká špína nevovládá základy pravopisu🤡 Maorové kulturně obohatili terroristickou handru🇳🇿

16.4.2020 07:23 Jirka | skóre: 25
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

To není moc dobrá nabídka. Za 90 dní propálí běžnej krumpáč na elektrice násobně víc.

Dokud to funguje, nešťourej se v tom!...

16.4.2020 07:40 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

No alespoň vidíš, na kolik si je jist. Mě asi před deseti lety taky napadli jeden zapomenutý virtuálek. Byl to testovací image s uživatelem test a heslem test, takže žádná složitost.

16.4.2020 20:00 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

No tak mi řekni za kolik bys to zlomil. (vzor vznikl pomocí příkazu cat /dev/urandom | tr -dc a-zA-Z0-9 | head -c 16)

17.4.2020 12:00
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Doufám, že si to heslo pamatuješ. ;-)

17.4.2020 12:40 _
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Si ho vygeneruje znova, za nějakou chvíli se musí znovu objevit.

17.4.2020 13:00 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Prečo by si to heslo nemohol pamätať? Veď on si tak pomenoval vlastného kocúra.

18.8.2020 23:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Plaintext byl YAi9dJEoxsQ3aelm.

15.4.2020 16:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Tohle mě fakt zajímá: jak používáš hesla, že klíče jsou „takovýto blbosti“? Máš nějaký password manager, který podporuje ssh? I když bych souhlasil, že silná hesla jsou dostatečně bezpečná, tak mi to přijde jako nekonečný opruz -- s klíčem přidám do image ze kterého instaluju počítače svůj veřejný, zatímco s heslem je potřeba řešit že ho po instalaci vygeneruju a musím ho někam uložit a s tím strojem spárovat (protože musí být pro každý stroj unikátní, zatímco klíč jsem vyrobil jednou a někam pověsil veřejnou část a je mi jedno že se třeba i válí na internetu). To všechno za situace, kdy řádkové utility (ssh, sftp…) nemají žádné API na to, jak jim heslo dávat, zatímco klíč stačí umístit do ~/.ssh a všechno funguje automaticky.

13.4.2020 22:16 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Měl tedy práva roota. Nezjistil jsem, co tam změnil.

Takže to kompletně přeinstaluj.

V první řadě si udělej kompletní kopii systému. Jednak abys to mohl prozkoumat, a pak abys mohl při přeinstalaci obnovovat nastavení.

Pokud máš záložní kopii, což bys opravdu měl mít, tak můžeš porovnat změny v systém oproti té záloze.

Nejlepší řešení je obnovit server ze zálohy, ponechat uživatelská data a opravdu důkladně se podívat, kde máš díru, neboť v té obnovené verzi bude ještě nepoužitá (snad).

Hello world ! Segmentation fault (core dumped)

13.4.2020 22:42 Jirka | skóre: 25
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

"Nejlepší řešení je obnovit server ze zálohy"
Je.
Ale kdo z nás je poctivě dělá a hlavně aktualizuje? Párkrát jsem to zkoušel, ale za chvíli byl v těch zálohách takovej ..., že byl jednodušší vanilla install a pak to tam skriptem všecko nahrát a jen nakopírovat konfiguráky.
Tady se přikláním k variantě, že k hacknutí roota přece jen nedošlo, takže jsem zatím pozměňoval nejslabší hesla, nahodil přes noc do fake brány, která loguje pokusy směrem ven a zbytek zabezpečení + vynadání uživatelům se dořeší zejtra. Zatím díky. :-)

Dokud to funguje, nešťourej se v tom!...

14.4.2020 08:24 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Ale kdo z nás je poctivě dělá a hlavně aktualizuje?

Každý?

Ale vážně. Zálohy by měly být plně automatické a inkrementální alespoň pár týdnů nazpět. To je věc, která se jednou nastaví a pak už se na to nesahá. Jen se čas od času koukne, že to i po letech ještě funguje. A není to nic komplikovaného. Vlastně stačí z cronu volat rsync na sousední server a dělat si snapshoty. Stejně tak s notebooky a vůbec všemi počítači. Nastavení je na pár minut a zachrání to mnoho dat i nervů.

Hello world ! Segmentation fault (core dumped)

15.4.2020 16:34 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Ale kdo z nás je poctivě dělá a hlavně aktualizuje?

Já. Teda aktualizaci řeší cron každou noc, o to se samozřejmě ručně nestarám.

Párkrát jsem to zkoušel, ale za chvíli byl v těch zálohách takovej ..., že byl jednodušší vanilla install a pak to tam skriptem všecko nahrát a jen nakopírovat konfiguráky.

To mě překvapuje, já jednoduše rsyncuju celé /, a obnova vypadá tak, že prohodím u rsyncu zdroj a cíl.

16.4.2020 09:34 .
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

já jednoduše rsyncuju celé /, a obnova vypadá tak, že prohodím u rsyncu zdroj a cíl

Jak dlouho ti oboji trva a na cem (objem dat, FS)?

16.4.2020 09:39 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

U mne inkrementální záloha celého notebooku (jeden teď má na disku 400 GB, druhý 100 GB) po WiFi trvá obvykle 10 až 20 minut.

Kompletní obnova je na pár hodin. To se vyplatí vyndat disk a připojit do serveru, nebo alespoň najít síťový kabel.

Hello world ! Segmentation fault (core dumped)

16.4.2020 09:51 .
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

inkrementální záloha

Pres rsync to neni uplne inkrementalni, ne? https://serverfault.com/a/138412

16.4.2020 11:31 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Inkrementální záloha je o tom, že se s každou zálohou uchovávají jen rozdíly oproti předchozí záloze. Ten odkazovaný komentář je ptákovina.

Možností jak implementovat ty rozdíly je několik. Relační databáze často používají log operací, který pak znovu přehrajou. Btrfs shapshoty si drží seznam změněných bloků. Rsync porovnává metadata a následně i data souborů, inkrementy pak umí pomocí hardlinků, nebo jde kombinovat se snapshoty filesystému. Git počítá hashe obsahu a ty používá k adresování a následně aplikuje delta kompresi, aby to bylo efektivní. Rdiff-backup zas ukládá aktuální verzi a rozdíly od předchozí, takže je krutě pomalý. Pointa je, že nezměněné soubory zabírají místo na disku jen jednou.

Hello world ! Segmentation fault (core dumped)

16.4.2020 20:09 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

5 TB celkem (asi 6 serverů), denní diff měl tak 10 GB, záloha trvala tak hodinu (v září jsem tam skončil). Core 2 Quad, rotační disky, na serverech je ext4, zálohuje se na btrfs se snapshoty.

16.4.2020 20:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

A obnovu jsem dělal celou jednou (jinak jsem obnovoval jen individuální soubory), a to jelo tak 50 MB/s (po gigabitové síti). Pomalé je když je tam spousta malých souborů.

14.4.2020 09:37 Teddy_CZ
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Podíval bych se na crontab u patřičného uživatele. Když se dá místo času @reboot tak se skript spustí po restartu počítače.

14.4.2020 11:11 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Mně by spíše zajímalo, co na tom provozuješ za služby, že se ti něco dostalo do shellu?
Zdar Max

Měl jsem sen ... :(

14.4.2020 18:43 Jirka | skóre: 25
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Je tam toho docela dost, IP telefonie, samba+nfs a pak bokem ještě dlna a torenty, aby to nejelo tak naprázdno...
Projíždím teď logy a byl to slovník jak vyšitej, pokus č.22029, zapomnělo se na fail2ban, stane se... :-D

Do roota se fakt nedostal, změnil heslo napadeného uživatele, skouknul, co tam je, odhlásil se a zkoušel další loginy a hesla.
A pak k tomu botu nejspíš přišla obsluha, spustila ten skript a prozměnu útočila pomocí mýho stroje na někoho dalšího.

Dokud to funguje, nešťourej se v tom!...

14.4.2020 19:10 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Zdravim Jak lidi tady pisou, vsem uzivatelum zmenit hesla za silna, prosel bych uzivatelske adresare a Crontab viz @reboot namisto casu, data. Taky zvazte jestli onen uzivatel nemel Sudo. Utocnik ktery se prihlasil jako bezny uzivatel sic v systemu nepopacha prakticky nic spatnyho kvuli cemu by se mel os povazovat za napadeny a bylo nutne jej reinstalovat/obnovit ze zalohy. Muze vsak zacit provozovat jakoukoli webovou sluzbu na portech vyssich jak 1024 a provadet utoky na dalsi ip aniz by roota vubec potreboval. Taky muze byt utocnikuv soubor spousten ne pri startu os ale pri prihlaseni na konkretniho uzivatele, prohlednete tedy .bashrc

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

14.4.2020 20:46 jiwopene | skóre: 31 | blog: Od každého trochu…
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

A případně konfiguraci dalších programů, které umožňují zasahovat do systému – např. vimrc, at úlohy, ….

Je celkem rozumné mít povolené příchozí spojení (např. pomocí iptables) jen na portech, které mají být používány.

.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.

14.4.2020 21:00 Jirka | skóre: 25
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Projíždím to, asi těch breberek bude víc. Problém s ssh bruteforcingem vyřešen, ale tcpdump zachytává odchozí pakety do číny a ruska, tentokrát vlastník přímo root. Asi nebyl dobrej nápad dávat do všech krabiček stejný hesla shodný s rootem... :-D

Dokud to funguje, nešťourej se v tom!...

Řešení 1× (Jirka (tazatel))

14.4.2020 21:12 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Na to jsou dobré ty klíče.

Hello world ! Segmentation fault (core dumped)

14.4.2020 21:20 Jirka | skóre: 25
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Na ja, mrknu na to, díky všem, zas je co dělat. :-)

Dokud to funguje, nešťourej se v tom!...

15.4.2020 18:17 pavele
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Nehledě na to, že SSH přihlašování pomocí hesla je náchylné na MITM útok.

14.4.2020 21:26 otasomil | skóre: 39 | blog: puppylinux
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Asi nebyl dobrej nápad dávat do všech krabiček stejný hesla shodný s rootem...

To rozhodne nebyl. Taky je vhod nemit nikoho v sudousers. Heslo roota napadne delsi a slozitejsi nez uzivatelu. Pamatujte - i silna hesla jsou zadarmo. Pohodlnost v podobe jednoducheho hesla se nevyplaci. Prihlaseni pomoci klicu je fajn ale zase ma nedostatek v tom ze ze systemu od ktereho se prihlasujete obvykle pracujete jako bezny uzivatel tudiz .ssh je snadno zkopirovatelny coz je mnohem snadnejsi operace jak chytat stisky klaves a cekat na pravy cas.

K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý

15.4.2020 17:37 jiwopene | skóre: 31 | blog: Od každého trochu…
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Proto je dobré mít šifrované soubory v /home nebo alespoň šifrovaný klíč. Pak se agent musí zeptat na heslo (a rozšifrovaný klíč si drží v RAM). Není to 100% ochrana, ale tím se vyřeší problém s možností zkopírování ~/.ssh.

.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.

15.4.2020 08:38 Ladislav
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Zdravim, nedavno som riesil podobne incidenty, ktore zodpovedaju Vasmu popisu. Ak ten stroj este bezi a nebol preinstalovany, tak sem pridam zopar tipov:

bezny pouzivatel, pod ktorym to bezi, by mal mat vo svojom home skryty adresar, ktory obsahuje kswapd0 aj dalsi bordel ako obsluzne skripty a podobne (v podadresaroch s nazvami a, b, pripadne aj c)
perzistencia (automaticke spustanie) je cez crontab tohoto bezneho pouzivatela
v .ssh/authorized_keys bude pravdepodobne pridany ssh kluc, ktory pouzivaju utocnici na opatovne pripajanie sa cez ssh. Pravdepodobne bude pri tomto kluci uvedene aj "mdrfckr"
v /tmp (alebo vo /var/tmp) by mal byt adresar .X[??]-unix, kde [??] bude nejake cislo, napr 20. A v tomto adresari maliciozne subory poodobne tym, ktore su u bezneho pouzivatela - napr nejaky .tar.gz archiv s malverom a obsluznymi skriptami, aj rozbaleny do nejakeho skryteho adresara, napr. /tmp/X[??]-unix/.rsync/ Opat by tu mali byt nejake podadresare a,b,c,
toho bordelu by tam malo byt viac, napr Coinminer (XMRig, to by mal byt ten kswapd0), Perl shellbot vyuzivajuci IRC na ovladanie (pravdepodobne Vami popisovany rsync), ssh-bruteforcer, skript/program modifikujuci ten ssh authorized_keys subor a podobne.

a este mala rada na zaver: ak to nie je kriticke zariadenie, je lepsie ho preinstalovat, obnovit data zo zaloh spred utoku a hardenovat system, nez zistovat, co vsetko tam utocnik spravil, odstranovat ten bordel a riskovat, ze nieco ostane nenajdene a utocnik sa tam zasa vrati

15.4.2020 22:24 Jirka | skóre: 25
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Přesně tohle jsem tam našel. Zjistil jsem datum a čas průniku a vyhledal vše s odpovídajícím časem, nakonec jsem smáznul uživatelův crontab. Po vyčištění na ten server prakticky furt někdo útočí, tak 5 pokusů za minutu na různých portech. Ale snad už v cajku. :-)

Dokud to funguje, nešťourej se v tom!...

15.4.2020 22:35 otazka
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Nemohly jste si to tam zanest samy spustenim neceho stahnuteho z internetu, nebo jste oba aktualizovaly z napadeneho repa? Jen se ptam?

16.4.2020 00:22
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

No to mi ho vYndej..

16.4.2020 06:30 Jirka | skóre: 25
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Tohle nejsou widle :-D

Dokud to funguje, nešťourej se v tom!...

16.4.2020 09:13 Ladislav
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

vo vseobecnosti je vela moznosti, ako sa moze dostat podobny bordel do systemu. Avsak tentoraz (minimalne v pripadoch, ktore sa dostali ku mne) slo o prelomenie slabeho hesla nejakeho pouzivatela. Napokon, medzi tym malverom na zariadeni je aj jeden, ktory robi bruteforce utoky na ssh. A nielen hesla, ale aj hlada ssh kluce na napadnutom zariadeni. Takze Jirka, ak ste tam nahodou mali ulozeny aj nejaky privatny ssh kluc, povazujte ho za kompromitovany.

Aj podla toho, co Jirka pise, tak aj v jeho pripade mal dany pouzivatel slabe heslo.

Doplnil by som len, ze toto nie je uplne neznama a nova kampan utocnikov, ale rovnake ci velmi podobne utoky sa vyskytuju uz niekolko mesiacov. Priklad z januara: http://jakob.space/blog/investigating-a-shellbot-aa-infection.html

17.4.2020 13:13 Jirka | skóre: 25
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Ráno jsem mrknul do logu fail2ban, za 12 hodin 300 zabanovaných adres, co to k**va je? :-O

Dokud to funguje, nešťourej se v tom!...

17.4.2020 13:45 jiwopene | skóre: 31 | blog: Od každého trochu…
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Nejspíš Tor, případně se mu už povedlo nabourat se i k někomu jinému.

.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.

17.4.2020 13:51 Aleš Kapica | skóre: 52 | blog: kenyho_stesky | Ostrava
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

To vypadá, jako bys nebyl spokojen ;-)

Nebo bys je měl raději u sebe opět na návštěvě?

17.4.2020 14:02 Jirka | skóre: 25
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Mě překvapuje ta intenzita, před půl rokem jednou dvakrát za den pokus o ftp přihlášení a teď takovej ssh bombing, máte to na svých strojích taky?

Dokud to funguje, nešťourej se v tom!...

17.4.2020 14:35 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Ano, máme, proto se s tim tak nemažem.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

17.4.2020 14:00 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

To je bežný distribuovaný útok z botnetu. A ukazuje to, že si fail2ban spĺňa svoju prácu.

Odporučil by som vyextrahovať zabanované IPky a pozrieť k nim geolokáciu. Človek sa tak môže zamyslieť či by nebolo rozumné rovno zablokovať niektoré krajiny (z ktorých sa určite nikto legitímny nebude prihlasovať na server). Alebo zablokovať všetko, a povoliť iba niektoré segmenty. Poprípade tam nasadiť napr. port knocking.

17.4.2020 14:03 Jirka | skóre: 25
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Je to hlavně čína a rusko, abuseipdb u nich hlásí stovky narušení všude možně.

Dokud to funguje, nešťourej se v tom!...

17.4.2020 14:03 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Já mám SSH na jiném portu ne kvůli bezpečnosti, ale protože je tohle otrava. Plus na slabém HW/konektivitě to žere prostředky.

17.4.2020 14:05 Jirka | skóre: 25
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

To já právě taky, hodně vysokej port a vůbec to nemá vliv.

Dokud to funguje, nešťourej se v tom!...

17.4.2020 15:48 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Zkus portknock a prihlasovani pouze pres klice a mas klid.

17.4.2020 20:14 jiwopene | skóre: 31 | blog: Od každého trochu…
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

Já mám 22, ale omezuji uživatele pomocí AllowGroups, takže mi nepůsobí až tak velkou zátěž.

Jinak pár (50) IP adres, odkud se ke mě přihlašují:

101  13.80.123.119
99   222.186.180.130
92   222.186.42.155
92   222.186.30.167
91   167.86.96.128
90   222.186.42.7
90   222.186.15.115
87   185.153.196.230
86   222.186.42.136
84   222.186.30.218
84   222.186.190.14
83   222.186.15.158
82   222.186.42.137
82   222.186.180.142
81   222.186.52.39
81   222.186.15.10
79   222.186.31.83
79   222.186.30.112
74   222.186.30.35
73   222.186.52.139
73   222.186.15.114
72   222.186.30.76
69   222.186.31.166
66   222.186.15.62
58   222.186.30.57
47   222.186.175.23
29   45.136.108.85
10   41.231.5.110
5    85.209.0.142
5    49.88.112.72
5    49.88.112.68
4    85.209.0.248
4    192.95.47.224
2    95.163.118.126
2    94.23.212.137
2    89.231.96.134
2    88.198.20.72
2    85.25.199.69
2    85.214.254.74
2    67.23.31.238
2    61.183.35.8
2    60.249.43.19
2    59.90.182.225
2    51.91.110.51
2    51.83.42.108
2    51.178.55.92
2    51.178.2.79
2    51.15.126.41
2    51.15.108.244
2    49.234.233.164

.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.

17.4.2020 20:17 jiwopene | skóre: 31 | blog: Od každého trochu…
Rozbalit Rozbalit vše Re: Nezvaná návštěva na serveru

To číslo je počet pokusů z dané adresy.

.sig virus 3.2_cz: Prosím, okopírujte tento text do vaší patičky.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje