Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam. Pewien osobnik zna wszystkie moje hasła do vpsa,mysql,kont. Mówił coś o backdorze i lewym kernelu. Jak mogę to jakoś sprawdzić, ewentualnie zrobię reinstall vps ale jak mogę to zabezpieczyć jakoś? Pomocy.
Ostatnio edytowany przez shizo (2013-03-18 22:56:57)
Offline
Heh, właśnie miałem pisać, że jak owy osobnik mówił o "blackdobrze" to nie ma się czym martwić ...
Offline
Wiem,poprawiłem właśnie.
Offline
Nie wiem, jakim cudem osobnik poznał te hasła, ale jeśli jesteś w stanie udowodnić, że Ci je wykradł lub zdobył poprzez włamanie to sprawę skieruj do prokuratury.
Nie zmienia to faktu, że system został skompromitowany i reinstalacja jest jak najbardziej wskazana.
Offline
Prawidłowy termin to: backdoor lub, po polskiemu, tylna furtka.
Jak sprawdzić fakt włamania do systemu mam raczej mgliste pojęcie, więc pozwolę się wypowiedzieć innym (z nadzieją, że to nie będzie ten co myślę, że będzie...). Ale jeśli rzeczywiście system został zinflitrowany, to jedynym wyjściem jest zaoranie go i postawienie od nowa (a także zabezpieczenie, żeby sytuacja się nie powtórzyła).
Dopisek: http://www.linux.pl/?id=news&show=6394&kom=1 tego aby nie masz?
Offline
Właśnie chciałbym mu zrobić reinstalacje oraz zabezpieczyć jakoś,żeby znowu nie wykradł mi wszystkich danych.
Co do tamtego tematu to nie znajduje mi tego pliku.
ls: cannot access /lib*/libkeyutils.so.1.9: No such file or directory
Offline
Myślę, że jeśli to zgłosisz, to nie będzie żadnego "znowu".
Offline
pasqdnik napisał(-a):
Nie wiem, jakim cudem osobnik poznał te hasła, ale jeśli jesteś w stanie udowodnić, że Ci je wykradł lub zdobył poprzez włamanie to sprawę skieruj do prokuratury.
Raczej nie dam rady udowodnić. Znając życie taka sprawa będzie się ciągła miesiącami.
pasqdnik napisał(-a):
Myślę, że jeśli to zgłosisz, to nie będzie żadnego "znowu".
Zgłosiłem to do supportu. Mam nadzieję,że oni w jakiś sposób mi pomogą.
Ostatnio edytowany przez shizo (2013-03-18 23:12:35)
Offline
czyli bylo tak.
napisal do ciebie gostek ze powyciagal ci passy na co sie dalo, ale poki co wszystko dziala ....
A Ty idziesz na policje .... ( btw. ekipa u gory serio swietna rada ).
Moze jednak warto bylo by to zweryfikowac ( to raz ), no i dwa zrobic reinstalke załatać system i gostkowi podziekowac ( no o ile faktycznie niczego nie wydupcył ).
Offline
shizo napisał(-a):
Witam. Pewien osobnik zna wszystkie moje hasła [..]
gindek napisał(-a):
[..]ekipa u gory serio swietna rada[..] i gostkowi podziekowac
Wiem, że jest już późno, ale dopisz proszę, że z tym dziękowaniem żartujesz....
Offline
pasqdnik napisał(-a):
shizo napisał(-a):
Witam. Pewien osobnik zna wszystkie moje hasła [..]
gindek napisał(-a):
[..]ekipa u gory serio swietna rada[..] i gostkowi podziekowac
Wiem, że jest już późno, ale dopisz proszę, że z tym dziękowaniem żartujesz....
Jak by byl zlosliwy i byl by powod zeby biegac na policje to typek by wyciagnol baze, zaszyfrowal i krzyknol 3000 zl za haslo.
Wiec tak trzeba by mu flaszke wyslac ze byl łaskaw nie być skurwielem, oraz ze raczyl poinformowac o błedzie w zabezpieczeniach.
Na obecna chwile to wyglada tak:
Idziesz ulica widzisz otwarty sklep, pusty w srodku, godzina 23, sklep niby do 22 .... widzisz numer telefonu i dzwonisz do wlasciciela ze sklepu nie zamknol.
A ten przyjedzie z policja i wsadzi cie do wiezienia.
Serio troche pomyslunku.
Offline
Jeśli gościu twierdzi, że zna hasła to to podchodzi pod http://prawo.money.pl/kodeks/karny/czesc-szczegolna … macji/art-267 i inne.
Takimi rzeczami się z założenia nie chwali.
No ale tu już się musi twórca wątka określić, co będzie chciał z tym zrobić.
Twoja analogia jest tu trochę nietrafiona, ale wierz mi, że jeśli z tego sklepu cokolwiek by zginęło, to Ty byłbyś pierwszym podejrzanym.
Offline
pasqdnik napisał(-a):
Jeśli gościu twierdzi, że zna hasła to to podchodzi pod http://prawo.money.pl/kodeks/karny/czesc-szczegolna … macji/art-267 i inne.
Mi nie chodzi o to na ile przepisow kodeksu karnego sie ktos łapie. Ale o to co zrobił po obejsciu zabezpieczeń, może wlasnie dzieki temu mu ocli te 3000pln bo trafil by sie jakis inny ... juz tym razem skurwiel i zrobil jakies swinstwo. A za to ze zglosil adminiowi problem nalezy mu podziekowac.
Wam administratorm to sie czasem w dupach przewraca:
"ktos zna moje haslo, jak on smie nikczemink jeden ..... aaa jejeku wsadze go do wiezienia", ale ze byłem dupa i sie nie pilnowalem to inna kwestia.
Idac kretynskim tokiem myslenia ze "ktos wyciagnol haslo, to do wiezienia go", wsadz 40% userow panoramy. ( kiedys na wizji puscili wywiad z jakas laska z centrum ratownictwa no i na tablicy były zapisane passy do strony pokazujacej polozenie helikopterow ratowniczych w kraju ).
Wracajac do analogi sklepu, wchodzisz do sklepu szukasz wlasciciela, nie ma go wiec wtargnoles na cudze mienie, do tego powinien byc zammkniety wiec napewno sie wlamales (pomimo ze byl otwarty) do "wieznia" na 100lat !!!!
A co to tego czy cos ze skepu zginelo, no to juz sie odnioslem, " o ile faktycznie niczego nie wydupcył "
[Edit]
Przypomniala mi sie jeszcze jedna analogia :-). Nie do wlamania ale do tego jak zdefiniowac kryminaliste, przestepce.
Jakis czas temu byla wielka fala oburzenia i trabienie w telewizji poniewaz nasi agenci SKW mieli konta na naszej klasie no i tam fotki swoje i z rodzina. (SKW - sluzba kontrwywiadu wojskowego ). Bylo wielkie gadanie "sa nie odpowiedziali, twarz w internecie pokazac," ... " sa przestepcami, do wiezenia ich " itp itd.
Poczym jeden z politykow ( bez nazwisk ), powiedzial "Ci zołnierze nie sa przestepcami, powiedzial bym ze sa bardzo dobrymi oficerami wywiadu, chowaja sie w tłumie ..... Przestepcami są ludzie którzy powiedzieli ze oni są oficerami wywiadu, gdyby nikt tej informacji nie podał wszystko było by ok "
Ostatnio edytowany przez gindek (2013-03-19 00:38:47)
Offline
gindek napisał(-a):
pasqdnik napisał(-a):
Jeśli gościu twierdzi, że zna hasła to to podchodzi pod http://prawo.money.pl/kodeks/karny/czesc-szczegolna … macji/art-267 i inne.
Mi nie chodzi o to na ile przepisow kodeksu karnego sie ktos łapie. Ale o to co zrobił po obejsciu zabezpieczeń, może wlasnie dzieki temu mu ocli te 3000pln bo trafil by sie jakis inny ... juz tym razem skurwiel i zrobil jakies swinstwo. A za to ze zglosil adminiowi problem nalezy mu podziekowac.
Wam administratorm to sie czasem w dupach przewraca:
"ktos zna moje haslo, jak on smie nikczemink jeden ..... aaa jejeku wsadze go do wiezienia", ale ze byłem dupa i sie nie pilnowalem to inna kwestia.
Idac kretynskim tokiem myslenia ze "ktos wyciagnol haslo, to do wiezienia go", wsadz 40% userow panoramy. ( kiedys na wizji puscili wywiad z jakas laska z centrum ratownictwa no i na tablicy były zapisane passy do strony pokazujacej polozenie helikopterow ratowniczych w kraju ).
Wracajac do analogi sklepu, wchodzisz do sklepu szukasz wlasciciela, nie ma go wiec wtargnoles na cudze mienie, do tego powinien byc zammkniety wiec napewno sie wlamales (pomimo ze byl otwarty) do "wieznia" na 100lat !!!!
A co to tego czy cos ze skepu zginelo, no to juz sie odnioslem, " o ile faktycznie niczego nie wydupcył "
:D
Oby życie nie kazało Ci weryfikować tych poglądów.
Offline
pasqdnik napisał(-a):
gindek napisał(-a):
pasqdnik napisał(-a):
Jeśli gościu twierdzi, że zna hasła to to podchodzi pod http://prawo.money.pl/kodeks/karny/czesc-szczegolna … macji/art-267 i inne.
Mi nie chodzi o to na ile przepisow kodeksu karnego sie ktos łapie. Ale o to co zrobił po obejsciu zabezpieczeń, może wlasnie dzieki temu mu ocli te 3000pln bo trafil by sie jakis inny ... juz tym razem skurwiel i zrobil jakies swinstwo. A za to ze zglosil adminiowi problem nalezy mu podziekowac.
Wam administratorm to sie czasem w dupach przewraca:
"ktos zna moje haslo, jak on smie nikczemink jeden ..... aaa jejeku wsadze go do wiezienia", ale ze byłem dupa i sie nie pilnowalem to inna kwestia.
Idac kretynskim tokiem myslenia ze "ktos wyciagnol haslo, to do wiezienia go", wsadz 40% userow panoramy. ( kiedys na wizji puscili wywiad z jakas laska z centrum ratownictwa no i na tablicy były zapisane passy do strony pokazujacej polozenie helikopterow ratowniczych w kraju ).
Wracajac do analogi sklepu, wchodzisz do sklepu szukasz wlasciciela, nie ma go wiec wtargnoles na cudze mienie, do tego powinien byc zammkniety wiec napewno sie wlamales (pomimo ze byl otwarty) do "wieznia" na 100lat !!!!
A co to tego czy cos ze skepu zginelo, no to juz sie odnioslem, " o ile faktycznie niczego nie wydupcył ":D
Oby życie nie kazało Ci weryfikować tych poglądów.
Jak robilem w poprzeniej pracy zagadalismy sie z klientem i nie wzielismy od gostka kasy, no i dostal karte graficzna, proca no i mobo, calosc za jakies nie duze pieniadze z 700zl no ale wtedy studiowalem, wiec byla to dla mnie spora suma :-). Jako ze sie połapałem po kilku minutach i mowie do kumpla "kur** kasy od niego nie wziolem", zaczolem latac po gieldzie szukac typa .... mija z 5 minut . .. . telefon mi dzwoni. No i kumpel mowi
"spoko wracaj, gostek sie połapał ze nie zapłacił, wrócił się zostawił kase 10zl, na piwo i przeprosil za zamieszanie ".
"10zl na piwo" wydalismy na frytki.
jak sie mozesz spodziewac nie dzwonilem na policje ze probowal mnie okrasc, ale w duchu wyrzutow sumienia jednak sie wrocil. ...
Pozatym lubie zostawic portwel w sklepie na ladzie, zawsze do mnie wraca ( widac kocha ). Nie dzwonie na policje mowiac "ekspedientka mi schowala portwel " ....
14.03.2013 o godzine 21:11 zostawilem kupon totka w kiosku, w krakowie w tesco przy kapelance ( mam go wiec przepisalem date ). Poszedlem do sklepu zrobilem zakupy i jak wychodzilm to przypomialem sobie ze totka puszczalem ale kuponu nie mam ... wiec ide do koisku pytam "nie zostawilem kuponu tutaj ? "... babki sie smieja i dostalem karteczke z numerkami . Całe 8zl :D
Raz znalazlem dowod osobisty popatrzylem poogladalem, otworzylem ksiazke telefoniczna, zadzwonilem pod adres z dowodu, powiedzialem co i jak, no i potem wyslalem dokument pocza .... byl adres zwrotny ale nikt mnie po sadach nie ganial ze "ukradlem mu portwel".
Na koniec nie dalej jak 2 miesiace temu, stoje w kolejce do bankomatu jakis typek kase wyplaca, koledzy go wolaja, okolice rynku wiec pewnie dupy i % w glowie, no i typek karte wziol ale 50zl w szufladzie bankomatu zostawil ... geniusz zla. Wyciagnolem odrocilem sie i mu dale te 50zl .... a niech ma.
Nie wiem jak bardzo mam mnie zycie weryfikowac i co mial znaczyc ten zwrot. ALe moze powyzszy zbior historii cie zadowoli.
[edit]
Jak mowi stara rzyciowa prawda "jak kuba bogu, tak bog kubie", wersja budowlana mowi "potraktuj kogos jak chu***, to i chu*** od niego dostaniesz".
Ostatnio edytowany przez gindek (2013-03-19 01:02:42)
Offline
gindek dobrze prawi.
Po pierwsze primo - logi, logi i jeszcze raz logi. Sprawdzić czy faktycznie gość się potrafi wbić czy faktyczni mógł wejść w posiadanie passów.
Po drugie primo - przed zaoraniem systemu nawiązać kontakt z gościem żeby w jakiś sposób pokazał, że faktycznie może zrobić bubu
Po trzecie primo, ultimo - dogadać się z nim i zapytać o "cenę". Nie koniecznie gość może chcieć kasy (może się np zadowolić udostępnieniem miejsca na vpsie na "wieczność")
Jak "kulturne" metody zawiodą, a w międzyczasie zbierzesz dostateczna ilość dowodów to wtedy możesz isć na policje. Aczkolwiek z wizytą na policji nie wróżę nic dobrego i osobiście odradzam marnowanie pieniędzy podatników.
Założenie: gość faktyczni ma dane, o których mów
Działanie:
Do czasu sprawdzenia i rozwiązania sprawy odciąć maszynę od sieci (iptables twoim przyjacielem jest - dostęp tylko z wybranych IP/podsieci). Sprawdzić poinstalowane skrypy (ostatnio jest fala dziur w Joomli, WordPressie i nie tylko). Posprawdzać panele administracyjne (sieć coś ostatnio przebąkiwała o dziurach w cpanelu). Sprawdzić na scuni czy packetstormie informacje o exploitach/dziurach które się ostatnio pokazały.
W pierwszej kolejności sprawdź: serwer pocztowy (exim ostatnio dorobił się kolejnej "szparki"), serwer ftp, serwer mysql (sprawdź czy user ma uprawnienia do korzystania z load data local infile (wystarczło że któryś z cmsów miał za duże prawa do pliku konfiguracyjnego i można było wyciągnać dane i zrobić kuku).
I sprawa najważniejsza - bez paniki, wszystko na spokojnie i dokładnie.
Poza tym pamiętaj: zapobiega się nie leczy. Czyli jak masz jakieś cmsy - to bieżące aktualizacjie, wtyczki, templatki i inne duperele tylko ze sprawdzonych źródeł (najlepiej prosto od producenta). Jeśli na VPSie masz apacza to zaprzyjaźnij się z csfem/lfd - i banuj każde IP które będzie miało więcej niż X odwołań z błędem 404/403. Ograniczaj uprawnienia userów do minimum.
P.S.
Na przyszłość podaj trochę więcej danych na temat VPSa (system, zainstalowany soft i jego wersje, jajco, jaka wirtualizacja, etc) będzie łatwiej wskazać potencjalne luki.
Offline
@gindek -- ok, to wiemy co się znalazło, lepiej nie pytajmy co się zawieruszyło xD
A co do tematu:
Tak na przyszłość, jak są info o włamie i są to w miarodajne informacje, wyciągnąć wtykę z sieci, przemontować maszynę do RO, zgrać logi i zrobić surowy obraz systemu. W ten sposób się zamrozi ślady do analizy -- potem montowanie surowego systemu w trybie offline-RO i dokonanie dogłębnej analizy powłamaniowej
Offline
winnetou napisał(-a):
gindek dobrze prawi.
Po pierwsze primo - logi, logi i jeszcze raz logi. Sprawdzić czy faktycznie gość się potrafi wbić czy faktyczni mógł wejść w posiadanie passów.
Do których logów mam zajrzeć?
Jak "kulturne" metody zawiodą, a w międzyczasie zbierzesz dostateczna ilość dowodów to wtedy możesz isć na policje. Aczkolwiek z wizytą na policji nie wróżę nic dobrego i osobiście odradzam marnowanie pieniędzy podatników.
Założenie: gość faktyczni ma dane, o których mów
winnetou napisał(-a):
Działanie:
Do czasu sprawdzenia i rozwiązania sprawy odciąć maszynę od sieci (iptables twoim przyjacielem jest - dostęp tylko z wybranych IP/podsieci). Sprawdzić poinstalowane skrypy (ostatnio jest fala dziur w Joomli, WordPressie i nie tylko). Posprawdzać panele administracyjne (sieć coś ostatnio przebąkiwała o dziurach w cpanelu). Sprawdzić na scuni czy packetstormie informacje o exploitach/dziurach które się ostatnio pokazały.
W pierwszej kolejności sprawdź: serwer pocztowy (exim ostatnio dorobił się kolejnej "szparki"), serwer ftp, serwer mysql (sprawdź czy user ma uprawnienia do korzystania z load data local infile (wystarczło że któryś z cmsów miał za duże prawa do pliku konfiguracyjnego i można było wyciągnać dane i zrobić kuku).
I sprawa najważniejsza - bez paniki, wszystko na spokojnie i dokładnie.
Z tym,że na moim vps nie ma żadnych cms, stoi tylko serwer od gry,team speak 3 no i mysql też mam.
winnetou napisał(-a):
P.S.
Na przyszłość podaj trochę więcej danych na temat VPSa (system, zainstalowany soft i jego wersje, jajco, jaka wirtualizacja, etc) będzie łatwiej wskazać potencjalne luki.
ostemplate debian-6.0-i386-minimal
Wirtualizacja OpenVZ
Linux version 2.6.32-308.8.2.el5.028stab101.1 (root@rhel5-build-x64) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-46)) #1 SMP Sun Jun 24 20:25:35 MSD 2012
Edit: Z supportu napisali mi ,abym skonfigurował sobie iptables. Jak mogę sprawdzić czy mam już go zainstalowanego czy muszę instalować sam? Oraz pytanko, czy podrzuciłby ktoś jakiś przejrzysty poradniczek jak się za to zabrać? :) Ewentualnie mogę komuś zlecić zabezpieczenie tego,ale w tym celu to prosiłbym na kontakt GG: 31456967
Ostatnio edytowany przez shizo (2013-03-19 15:02:43)
Offline
Zrobiłem sobie dziś reinstalla. Ale czy mógłby ktoś dalej pomóc ?
shizo napisał(-a):
Edit: Z supportu napisali mi ,abym skonfigurował sobie iptables. Jak mogę sprawdzić czy mam już go zainstalowanego czy muszę instalować sam? Oraz pytanko, czy podrzuciłby ktoś jakiś przejrzysty poradniczek jak się za to zabrać? :) Ewentualnie mogę komuś zlecić zabezpieczenie tego,ale w tym celu to prosiłbym na kontakt GG: 31456967
Offline
Offline
mati75 napisał(-a):
http://www.gentoo.org/doc/pl/articles/dynamic-iptables-firewalls.xml
Dość kiepskie to howto, sporo artystycznej rzeźby w bashu, ale bez odpowiedniej znajomości tematu.
Do banowania adresów - ipset.
Limitowanie połączeń z jednego ip/sieci - hashlimit lub recent.
A tu conieco o iptables:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter/iptables
Edit:
Gdzie masz tego VPSa, u jakiego operatora?
Ostatnio edytowany przez Jacekalex (2013-03-19 19:56:01)
Offline
Panel HyperVM
Do tego panelu nikt się nie włamał?
Z jakiej wersji Windows logujesz się do tego panelu?
Bo na 99% antywirus czegoś nie wykrył (jak zwykle).
Masz powiadamianie mailem o fakcie logowania do tego panelu?
Serwer?
Większosć informacji masz powyżej.
Ewentualnie tu masz fajny podręcznik, tyle że do Gentoo, także trzeba mysleć, (jest trochę różnic względem Debiana):
http://www.gentoo.org/doc/pl/security/security-handbook.xml
Ostatnio edytowany przez Jacekalex (2013-03-19 21:11:34)
Offline
Nie. XP. Nie mam powiadomienia. Zaraz sobie zeskanuje kompa.
Zainstalowałem sobie webmina i jeszcze CSF'a zgodnie z instrukcją jak tu http://freevps.us/thread-108.html, tylko jeszcze mam problem
root@fp:~/csf# perl /etc/csf/csftest.pl Testing ip_tables/iptable_filter...OK Testing ipt_LOG...FAILED [FATAL Error: iptables: No chain/target/match by that n Testing ipt_multiport/xt_multiport...OK Testing ipt_REJECT...OK Testing ipt_state/xt_state...FAILED [FATAL Error: iptables: No chain/target/matc Testing ipt_limit/xt_limit...FAILED [FATAL Error: iptables: No chain/target/matc Testing ipt_recent...FAILED [Error: iptables: No chain/target/match by that name Testing xt_connlimit...FAILED [Error: iptables: No chain/target/match by that na Testing ipt_owner/xt_owner...OK Testing iptable_nat/ipt_REDIRECT...OK Testing iptable_nat/ipt_DNAT...OK
RESULT: csf will not function on this server due to FATAL errors from missing modules [3]
z tym errorkiem
Offline
XP? Zaraz zeksanuję kompa?
Szkoda czasu.
Weź sobie lepiej postaw i skonfiguruj system Debian albo inny Linux w domu/biurze do jakiejkolwiek roboty, a XP zostaw jako konsolę do gier, nie wpisuj na nim żadnych haseł, nie trzymaj też na nim żadnych ważnych dokumentów czy poczty.
Testing ipt_LOG...FAILED [FATAL Error: iptables: No chain/target/match by that n Testing ipt_multiport/xt_multiport...OK Testing ipt_REJECT...OK Testing ipt_state/xt_state...FAILED [FATAL Error: iptables: No chain/target/matc Testing ipt_limit/xt_limit...FAILED [FATAL Error: iptables: No chain/target/matc Testing ipt_recent...FAILED [Error: iptables: No chain/target/match by that name Testing xt_connlimit...FAILED
Iptables bez modułów limit, connlimit, recent, state i LOG?
Jeśli nie ma też modułu hashlimit i modułów ipseta, to cały ten serwer się na mydło nadaje.
W ten sposób może skonfigurujesz najwyżej pół firewalla.
I daj sobie lepiej sposój z CFS, żeby używać nakładek, najpierw trzeba dokładnie wiedzieć, jak działa firewall iptables (netfilter) - bo inaczej będziesz tego firewalla trzy lata konfigurował, i co chwila płakał że taki błąd, a siaki błąd.
Pozdrawiam
;-)
Ostatnio edytowany przez Jacekalex (2013-03-20 01:43:05)
Offline