| 1.3, Аноним (-), 16:07, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> Возможно для атаки использовался какой-то эксплоит, рассчитанный на поражение CentOS.
Да все проще. Центос ломать одно удовольствие: там обновления безопасности по году не приходят.
Не понимаю, зачем его где-то вообще юзают. Все, кому нужен бесплатный рхел без гемора, уже давно ушли на SL.
| | |
| |
| |
| |
| 4.18, Аноним (-), 17:15, 01/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Да, есть маленько.
И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.
| | |
| |
| |
| 6.42, Аноним (-), 19:34, 01/12/2011 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> SELINUX
Вы что, блондинка? Или зачем тут капс? Кроме того, если уж хост взломали - значит он не помог и теория о том что это очень круто не подтвердилась естественным путем.
| | |
| |
| 7.80, anonymous (??), 01:46, 02/12/2011 [^] [^^] [^^^] [ответить]
| +3 +/– |
Гадайта гадайте, вот еще вариант - может как в 99.9999999% всех остальных случаев пароль рута был "777" ?
| | |
| 7.105, Аноним (-), 14:28, 02/12/2011 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Вы что, блондинка? Или зачем тут капс? Кроме того, если уж хост
> взломали - значит он не помог и теория о том что
> это очень круто не подтвердилась естественным путем.
А еще был опровергнута теория о том, что *nix - это защищенные системы.
| | |
|
|
| 5.107, Аноним (-), 14:31, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.
Тамошний ssh имеет очень мало общего с аналогичной версией из мейнстрима. Например, уже давно в редхатовском openssh 4.8 поддерживается chroot юзеров после логина, хотя в мейнстриме это добавили где-то после 5.0.
| | |
| |
| 6.114, Кирилл (??), 14:50, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.
> Тамошний ssh имеет очень мало общего с аналогичной версией из мейнстрима. Например,
> уже давно в редхатовском openssh 4.8 поддерживается chroot юзеров после логина,
> хотя в мейнстриме это добавили где-то после 5.0.
Очень полезно пихать в песочницу рута.
| | |
| |
| 7.121, Аноним (-), 16:10, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Очень полезно пихать в песочницу рута.
(Бес)полезно для рута == (бес)полезно для всех остальных юзеров?
| | |
| 7.125, Аноним (-), 16:48, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Очень полезно пихать в песочницу рута.
А зачем нужен рут в песочнице? Чтобы дети могли "поиграть в сисадмина"? :)
| | |
|
|
|
|
|
|
| 1.8, Анонище (?), 16:43, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Куда интереснее -каким макаром произошло проникновение. А что, что ПО меняли, так и ладно, не в музей же попали.
| | |
| |
| 2.12, Аноним (-), 16:51, 01/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Куда интереснее -каким макаром произошло проникновение. А что, что ПО меняли,
> так и ладно, не в музей же попали.
Journal там пока что не внедрили, так что без шансов.
| | |
| |
| 3.15, Аноним (-), 16:59, 01/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> Куда интереснее -каким макаром произошло проникновение. А что, что ПО меняли,
>> так и ладно, не в музей же попали.
> Journal там пока что не внедрили, так что без шансов.
А что бы это изменило?
| | |
| |
| |
| 5.101, Аноним (-), 14:15, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Никто бы даже не узнал о взломе, очевидно.
Да, на системах с syslog о взломе можно узнать только если повезет.
| | |
| |
| 6.113, Кирилл (??), 14:48, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Удалённая регистрация событий + вывод всех событий авторизации на старый добрый матричный принтер с рулоном бумаги.
| | |
| |
| 7.119, Аноним (-), 15:59, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Удалённая регистрация событий + вывод всех событий авторизации на старый добрый матричный
> принтер с рулоном бумаги.
Получится такой аналог Journal в стиле прошлого века.
P.S. Кстати, тут пробегала инфа, что хакеры научились удаленно поджигать принтеры, гоняя их в некорректных режимах =)
| | |
| 7.126, Аноним (-), 16:49, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> принтер с рулоном бумаги.
Прочиталось как с рулоном туалетной бумаги, извините :)
| | |
|
|
|
| 4.102, Аноним (-), 14:18, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> А что бы это изменило?
Был бы более-менее доверительный механизм удаленного логгирования, с авторизацией и шифрованием.
Впрочем, настоящие ценители syslog и необновленных центосов, как правило, презирают удаленное логгирование (неудивительно, с такой-то реализацией, как в syslog).
| | |
| |
| 5.115, Кирилл (??), 14:52, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Был бы более-менее доверительный механизм удаленного логгирования, с авторизацией и шифрованием.
Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.
| | |
| |
| 6.118, Аноним (-), 15:58, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.
Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец может назваться Апачом и писать в лог от его имени.
| | |
| |
| 7.120, PereresusNeVlezaetBuggy (ok), 16:04, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
 >> Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.
> Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец
> может назваться Апачом и писать в лог от его имени.
А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :)
| | |
| 7.140, Кирилл (??), 19:43, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец
> может назваться Апачом и писать в лог от его имени.
Причём тут верить или не верить. Главное зарегистрировать хронологию событий. Очень сложно произвести даже попытку взлома без явных вопиющих следов, оставленных ещё до вторжения.
| | |
|
|
|
|
| 3.166, аноним1 (?), 22:44, 09/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Journal там пока что не внедрили, так что без шансов.
что за Journal, простите??
| | |
|
|
| 1.24, Вова (?), 17:50, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс (помимо фат)) можно восстанавливать файлы после удаления. Или всё-таки по старинке - grep xxx /dev/sd*?
| | |
| |
| 2.106, Аноним (-), 14:29, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс (помимо
> фат)) можно восстанавливать файлы после удаления. Или всё-таки по старинке -
> grep xxx /dev/sd*?
photorec, ext3grep.
| | |
|
| 1.37, Аноним (-), 18:51, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да никто там особо не заботился о том чтобы не взломали , выполнили свою задачу и в мусор.
| | |
| 1.38, Аноним (-), 19:15, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Автору конечно спасибо за труды, но непонятно, к чему повествование. В 2009 какие-то злоумышленники взломали какие-то сервера под Centos, обновив на них попутно версию OpenSSH. Из этого можно сделать какие-то выводы?
| | |
| |
| 2.43, Аноним (-), 19:35, 01/12/2011 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Автору конечно спасибо за труды, но непонятно, к чему повествование. В 2009
> какие-то злоумышленники взломали какие-то сервера под Centos, обновив на них попутно
> версию OpenSSH. Из этого можно сделать какие-то выводы?
Что с 2009 года в CentOS есть незакрытая дыра, дающая удалённо root ?
| | |
| |
| 3.108, Аноним (-), 14:32, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Что с 2009 года в CentOS есть незакрытая дыра, дающая удалённо root ?
Если с 2009 года не обновляться, как это любят делать ценители центоса - запросто.
| | |
|
|
| 1.47, Аноним (-), 20:04, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
В последнем CentOS 5.x пакет openssh-4.3p2-72.el5_7.5.i386.rpm
В 4.3p2-10 была исправлена ошибка в GSSAPI. В заметке лаборатории касперского нет упоминания того, какая версия была до взлома. Очень похоже, что ниже 4.3p2-10 и сломали именно через эту уязвимость, хотя и утверждалось, что она не эксплуатируема.
| | |
| 1.48, AdVv (ok), 20:45, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Не понятно из новости, что за хосты были взломаны и как они были связаны с Duqu. Кто-то перехватил управление ботнетом ? Или управление ботнетом изначально осуществлялось с этих левых хостов ? Как-то недальновидно, потерял хост, потерял управление всем ботнетом ?
| | |
| 1.49, AdVv (ok), 20:48, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера" Uplink ;)
| | |
| |
| 2.128, Аноним (-), 16:51, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера"
> Uplink ;)
Это что-то типа fate?
| | |
|
| 1.50, Аноним (-), 21:23, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>пользователя root, которому был разрешён вход по SSH
Что за дурь?!
По моему все до единого сисадмины знают, что такой доступ верх безалаберности. Все книжки и руководства исходят криком: "Не делайте это!"
Ан нет - для нас закон не писан и мы САМЫЕ умные.(((
...Что же - кто-то оказался в итоге умнее.
| | |
| |
| 2.54, Аноним (-), 22:34, 01/12/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>пользователя root, которому был разрешён вход по SSH
> Что за дурь?!
> По моему все до единого сисадмины знают, что такой доступ верх безалаберности.
Дефолтовые настройки меняет мизерный процент сисадминов. Даже если в системе вход под root запрещён многие (если не большинство) хостинг-компании для арендованных серверов после заливки системы дают клиенту root-овый пароль и меняют sshd_config.
| | |
| 2.81, anonymous (??), 01:48, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>пользователя root, которому был разрешён вход по SSH
> Что за дурь?!
> По моему все до единого сисадмины знают, что такой доступ верх безалаберности.
> Все книжки и руководства исходят криком: "Не делайте это!"
> Ан нет - для нас закон не писан и мы САМЫЕ умные.(((
> ...Что же - кто-то оказался в итоге умнее.
Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем не проверяемые кроме автора.
| | |
| |
| 3.84, Аноним (-), 01:59, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем не проверяемые кроме автора.
Вы хотите сказать что отключить вход по логину root - это дурь (делать наоборот) ? Вы может мне еще скажите что логин по ssh разрешенный только для пользователя в виде 8x1UsNxKtW8B и пароль не менее простой тоже маразм? А как насчет knockd?
| | |
| |
| 4.85, qpq (ok), 02:35, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
 на каком сервере? IP у вас тоже генератором паролей выбирается? :)
| | |
| |
| 5.148, Аноним (-), 05:48, 03/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>на каком сервере?
На моем.
>IP у вас тоже генератором паролей выбирается? :)
Конечно нет. Что за бред пишете и, главное, зачем?
| | |
| |
| 6.160, qpq (ok), 12:20, 09/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
это был сарказм как бы
просто, пытался понять, зачем генерить случайное имя для пользователя? если параноить, то можно добавить эту часть к паролю, а имя оставить обычным удобочитаемым
| | |
|
|
| 4.86, Аноним (-), 05:48, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>Вы хотите сказать что отключить вход по логину root - это дурь (делать наоборот) ?
Да, дурь. Нормальный пароль не подберут в обозримом будущем. Сам пароль передается не открытым текстом. Если все же увели с юзерского компьютера root пароль от удаленной системы, то уведут и ваши "8x1UsNxKtW8B" и такая защита будет бесполезна. Опять же, если есть удаленная уязвимость, то запрет на root-логин едва ли поможет. Ко всему прочему, ходят по ключам, как правило, а не по паролям.
Объясните, мне, глупому, чем поможет запрет логина от рута?
| | |
| |
| 5.87, xdsl (?), 06:53, 02/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Объясните, мне, глупому, чем поможет запрет логина от рута?
Тем, что
1)крякеру надо сначала угадать юзеровский логин для удаленного входа, который на каждой системе разный, в отличие от root;
2)получение логина и пароля для удаленного входа - это полдела, надо еще, получив доступ к серверу, провести кучу манипуляций для получения рутового доступа. За это время в системе остается куча следов.
| | |
| |
| 6.98, Аноним (-), 12:03, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> За это время в системе остается куча следов.
А откуда следует что их останется больше чем при получении рута? Кроме того, ну вот получили вы рут. А оказалось что это пустой контейнер без нифига. Там даже нагадить толком не выйдет. И чего? :)
| | |
| |
| 7.109, Аноним (-), 14:34, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Кроме того, ну вот получили вы рут. А оказалось что это пустой контейнер без нифига.
Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с рутовыми правами.
| | |
|
| 6.132, Аноним (-), 17:38, 02/12/2011 [^] [^^] [^^^] [ответить] | +3 +/– | аксиома а не зависимо от того, включен или выключен логин от рута, ssh ведет се... большой текст свёрнут, показать | | |
| 6.149, Аноним (-), 12:55, 03/12/2011 [^] [^^] [^^^] [ответить] | +/– | Бред какой-то Не понял, при чем тут разные системы, и еще у вас что, на разных ... большой текст свёрнут, показать | | |
|
| 5.104, Аноним (-), 14:25, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Да, дурь. Нормальный пароль не подберут в обозримом будущем.
Ага, ага.
>This is more of an indication of a password bruteforcing rather a 0-day. So the most likely answer is that the root password was bruteforced. | | |
| |
| 6.131, Аноним (-), 16:58, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> likely answer is that the root password was bruteforced.
Вообще, хреновый какой-то пароль если за 8 попыток подбирается. Толи вместо админа полный ламерюга, толи что-то тут не чисто.
| | |
| |
| 7.135, Аноним (-), 18:34, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Толи вместо админа полный ламерюга
Разумеется, рутовый логин же был разрешен.
| | |
|
|
|
|
| 3.103, Аноним (-), 14:23, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем
> не проверяемые кроме автора.
Вы действительно так считаете? Тогда Duqu идет к вам!
| | |
|
| 2.88, kshetragia (ok), 07:03, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Может быть и верх, но по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса. По крайней мере это справедливо для СentOS, Rhel, Debian. Чего не скажешь о фрюше.
| | |
| |
| 3.91, Mikula (?), 10:03, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса.
Нормальные админы эту возможность убирают сразу после создания пользователя, который может получить рута.
| | |
| |
| 4.97, reaper (??), 11:48, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может
> получить рута.
зачем? не понимаю, выключить авторизацию по паролю и все
| | |
| 4.130, Аноним (-), 16:54, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может
> получить рута.
А какая глобальная разница? Нет, конечно от пароля 777 на руте это спасет, но если пароль нормальный - его и за 100 лет не подберут.
| | |
| 4.138, Кирилл (??), 19:37, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Это не так. Как раз доступ руту надо явно разрешать. Что, видимо, и было сделано.
| | |
| 4.157, kshetragia (ok), 09:46, 05/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса.
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может
> получить рута.
Нормальные оси имеют это из коробки.
| | |
|
|
|
| 1.52, Frank (ok), 22:05, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 "Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома."
А в статье же говорится совсем по-другому -
"Interestingly, on Linux it is sometimes possible to recover deleted files; however, in this case we couldn’t find anything. No matter how hard we searched, the sectors where the files should have been located were empty and full of zeroes."
| | |
| |
| 2.53, Frank (ok), 22:08, 01/12/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
И тут же после этого
"By bruteforce scanning the slack (unused) space in the ‘/’ partition, we were able to recover parts of the ‘sshd.log’ file. This was kind of unexpected and it is an excellent lesson about Linux and the ext3 file system internals; deleting a file doesn’t mean there are no traces or parts, sometimes from the past."
| | |
| |
| 3.63, Евгений (??), 23:06, 01/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> И тут же после этого
> "By bruteforce scanning the slack (unused) space in the ‘/’ partition, we
> were able to recover parts of the ‘sshd.log’ file. This was
> kind of unexpected and it is an excellent lesson about Linux
> and the ext3 file system internals; deleting a file doesn’t mean
> there are no traces or parts, sometimes from the past."
Да уж касперцы снова "открыли Америку", скорее "нехорошие" ребята пользовались rm, но есть еще и утилита shred, может они о ней не ведали, может им было все-равно, ведь кто-то должен кормить/учить касперовцев :)
| | |
| |
| 4.78, Ytch (?), 01:15, 02/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Да уж касперцы снова "открыли Америку", скорее "нехорошие" ребята пользовались rm, но есть еще и утилита shred, может они о ней не ведали
Ну как бы сами же "касперцы" и намекают на это когда анализируют .bash_history. Тот факт, что проникнув на чужую машину "нехорошие" ребята (если это, конечно, их bash_history) вызывают man и команды с ключом --help (вместо того чтобы сделать это хотя бы у себя локально, в крайнем случае), а также ставят pico и/или nano, чтобы поправить несколько символов в конфиге (там vi что ли нет?) не говорит ни о высоком уровне грамотности, ни об осторожности (хотя может просто излишне самоуверенные).
| | |
|
|
| 2.55, Аноним (-), 22:36, 01/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Не сработал простой метод, попробовали другой и нашли данные, что не так ?
| | |
|
| 1.56, chelovek (?), 22:42, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
Вот что то я не понял. Какой смысл в этой новости? Больше на какие то сплетни походит во дворах, бабушек. "Вот воры залезли, через дверь... И как они её открыли. И не выломали,.... И почему они потом закрыли дверь, а не оставил открытой." Да захотели и обновили блин! ))) Может им воспитание не позволило работать на старом ПО.
"и перед первым удачным входом был восьмиминутный перерыв"
Омг... Пописять/покурить/пофапать ходил хакер. ))))) Что в этом такого таинственного!.
| | |
| |
| 2.57, Аноним (-), 22:54, 01/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> "и перед первым удачным входом был восьмиминутный перерыв"
> Омг... Пописять/покурить/пофапать ходил хакер. ))))) Что в этом такого таинственного!.
Ага подбирал пароли не скриптом, а вручную, пописал и сразу правильный пароль подобрал.
Там слишком много совпадений и странных вещей. Я склоняюсь к тому, что в OpenSSH 4.3 из CentOS криво пропатчили дыру в GSSAPI (http://secunia.com/advisories/22173/). И вообще с этой дырой в GSSAPI мутная история, вначале писали что remote root, потом DoS, потом что не эксплуатируется, а потом замяли как-то, но исправления выпустили.
| | |
| |
| 3.58, chelovek (?), 22:57, 01/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Ну а почему нет? Вот у меня бывает умные идеи или в толчке или на курилке приходят весьма неожиданно!.)))))))
| | |
|
| 2.60, pavlinux (ok), 23:00, 01/12/2011 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Омг... Пописять/покурить/пофапать ходил хакер.
Это период цикла работы брутфорс скрипта.
Вот к нам тоже, каждый день, аккурат с 13:00 до 14:00,
примерно раз в 7 минут по 4 подхода долбят. :)
Я их уже логи SSH как телевизор смотрю... Всё думаю,
мож чего нового придумают, ан-н-н нет:
root, RooT,rO0t, r00t, ruut, ryyt, admin, administator,
god, g0d, godroot, rootgod, rootgood, rootgood, jedy,
veider, matrix, neo, trinity, ....
| | |
| |
| 3.64, Аноним (-), 23:10, 01/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
> раз в 7 минут по 4 подхода долбит. :)
А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)
| | |
| |
| 4.65, pavlinux (ok), 23:12, 01/12/2011 [^] [^^] [^^^] [ответить] | +1 +/– | Ну вообще-то авторизация только по ключам и рута низя Да и вообще, уже перенёс... большой текст свёрнут, показать | | |
| |
| 5.73, Ytch (?), 00:25, 02/12/2011 [^] [^^] [^^^] [ответить]
| +4 +/– |
Такая же фигня. Я вот думаю создать, что ли, пару из этих файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний вид оригинала (с намеком, например, на возможность root доступа к базам - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban как-то не так смешно.
| | |
| |
| 6.74, pavlinux (ok), 00:49, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Такая же фигня. Я вот думаю создать, что ли, пару из этих
> файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний
> вид оригинала (с намеком, например, на возможность root доступа к базам
> - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть
> особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный
> мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban
> как-то не так смешно.
180.0.0.0/2 можно смело банить :)
13x.0.0.0, 6x.0.0.0 , 3x.0.0.0 - самые ботнетцкие адреса.
Видимо в Южной Америке и Азии самые ацтойные админы. :)
| | |
| |
| 7.159, un4me (??), 11:46, 06/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> 180.0.0.0/2 можно смело банить :)
> 13x.0.0.0, 6x.0.0.0 , 3x.0.0.0 - самые ботнетцкие адреса.
Тогда уж советую:
-A INPUT -m geoip --source-country A1,AD,AE,AF,AG,AI,AO,AP,AQ,AW,AX -j DROP
-A INPUT -m geoip --source-country VN,MX,IN,TH,EG,PH,MK,KR,PK,TR,TW -j DROP
-A INPUT -m geoip --source-country CN -j DROP
-A INPUT -p tcp -m tcp --dport 137 -j CHAOS --tarpit
-A INPUT -p tcp -m tcp --dport 138 -j CHAOS --tarpit
-A INPUT -p tcp -m tcp --dport 139 -j CHAOS --tarpit
-A INPUT -p tcp -m tcp --dport 445 -j CHAOS --tarpit
-A INPUT -m psd --psd-weight-threshold 21 --psd-delay-threshold 300 --psd-lo-ports-weight 3 --psd-hi-ports-weight 1 -j DROP
| | |
|
| 6.110, Аноним (-), 14:37, 02/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Такая же фигня. Я вот думаю создать, что ли, пару из этих
> файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний
> вид оригинала (с намеком, например, на возможность root доступа к базам
> - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть
> особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный
> мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban
> как-то не так смешно.
Эта идея существует уже давно и называется honeypot. Настоящие исследователи в области безопасности (а не такие, как у касперского) создают целые сети таких хостов и изучают по ним поведение хацкеров.
| | |
|
| 5.76, stamnik (ok), 00:58, 02/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >>> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
>>> раз в 7 минут по 4 подхода долбит. :)
>> А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)
> Ну вообще-то авторизация только по ключам и рута низя.
> Да и вообще, уже перенёс на другой порт...
> Cкучно стало, в логах только записи крона... :(
> Но фигня, ещё есть web сервер!!! Там постоянно бутфорсят
> на наличие PHPMyAdmin и стандартные страницы авторизации
> и пароли от полулярных SMS.
Если хост не сильно критичный к нагрузкам то весьма забавно на некоторое время включить вот это https://www.opennet.ru/docs/RUS/iptables/#MIRRORTARGET
Только очень осторожно. Ибо проц начинает жрать неимоверно. Да и трафик подъедает тоже не слабо.
| | |
|
|
|
| 2.82, Ytch (?), 01:49, 02/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>"Против данной гипотезы указывает то, что пароль был подобран после относительно небольшого числа попыток и перед первым удачным входом был восьмиминутный перерыв"
Оригинал гласит (да и по логам в оригинале видно):
>Note how the "root" user tries to login at 15:21:11, fails a couple of times and then 8 minutes and 42 seconds later the login succeeds.
Не было никакого перерыва. Вход был осуществлен через 8 минут 42 секунды после начала подбора. И это, по их версии, как раз лишний раз подтверждает теорию подбора пароля:
>This is more of an indication of a password bruteforcing rather a 0-day. So the most likely answer is that the root password was bruteforced. | | |
| |
| 3.96, Аноним (-), 10:33, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Не было никакого перерыва. Вход был осуществлен через 8 минут 42 секунды
> после начала подбора. И это, по их версии, как раз лишний
> раз подтверждает теорию подбора пароля:
Перерыв был, но не 8, а 3 минуты: по скриншоты лога отлично видно, что последняя неудачная попытка была 15:27:12, а затем вход в 15:29:53
| | |
|
|
| 1.59, Аноним (-), 22:59, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Злоумышленники обновили OpenSSH до 5 версии, это самое интересное. Это наверное, скрытый способ доказательства важности своевременного обновления. Что же касается CentOS то лично я, не считаю ее операционной системой вообще. Не понимаю, почему все за нее так держаться, особенно если учесть периодичность выхода обновлений.
| | |
| |
| 2.83, anonymous (??), 01:56, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Злоумышленники обновили OpenSSH до 5 версии, это самое интересное. Это наверное, скрытый
> способ доказательства важности своевременного обновления. Что же касается CentOS то лично
> я, не считаю ее операционной системой вообще. Не понимаю, почему все
> за нее так держаться, особенно если учесть периодичность выхода обновлений.
Долгое время это была RedHat для бедных, все работало как часы. Но со времен когда Oracle выпендринулся со своим клоном и руководство RedHat решило начать сопротивление все покатилось под откос. Вероятно, прекратили все негласные контакты с Centos, наряду с сливанием индивидуальных патчей ядра и прочими пакостями.
| | |
|
| 1.67, Аноним (-), 23:14, 01/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Всё просто. Алгоритм взлома:
1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH (< 4.3p2-10) под CentOS.
2. При обнаружении используется публично не засвеченный эксплоит.
3. Обновляем openssh, чтобы другие скрипты, работающие на других узлах ботнета, не сломали ещё раз.
| | |
| |
| 2.68, pavlinux (ok), 23:28, 01/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Всё просто. Алгоритм взлома:
> 1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH
> (< 4.3p2-10) под CentOS.
> 2. При обнаружении используется публично не засвеченный эксплоит.
Если читал внимательно, то рута получили обычным бутфорсом.
| | |
| |
| 3.71, Аноним (-), 23:37, 01/12/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Всё просто. Алгоритм взлома:
>> 1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH
>> (< 4.3p2-10) под CentOS.
>> 2. При обнаружении используется публично не засвеченный эксплоит.
> Если читал внимательно, то рута получили обычным бутфорсом.
Это вам так кажется :-) Вначале разведку провели, а уже потом тяжелая артиллерия в бой вступила.
| | |
| |
| 4.72, pavlinux (ok), 00:21, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– | |
Мне не кажется, читаю то, что пишут.
"В качестве наиболее вероятного способа проникновения в систему рассматривается результат
"атаки по подбору пароля для пользователя root, которому был разрешён вход по SSH."
| | |
| |
| 5.90, Xing (?), 08:48, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
перебор за 8 минут???
у меня что-то на это очень много времени уходило, скорее всего была использована уязвимость, возможно перехват, подбор из того что перехватили, перебор для отвода глаз
| | |
| |
| 6.168, Аноним (-), 17:47, 26/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
У меня обычно стоит fail2ban который при 3х неудачных попыток подбора добавляет правила дропа в фаервол на 30 минут, при таких условиях перебор пароля бы занял минимум час. Это не великея хакеро, на лицо обычная халатность
| | |
|
|
|
|
|
| 1.77, adolfus (ok), 01:02, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Дйля беспарольного доступа ssh использует, в основном, две крипто системы -- rsa и dsa. Эти криптосистемы различаются как кислое и мягкое. Подозреваю, что произошел существенный прорыв либо в разложении двусоставного числа на множители (rsa) либо в отношении вычисления дискретного логарифма (dsa). По умолчанию в 5-й версии используется rsa. Если в 4-й что-то другое, это означает rsa под контролем. В смысле, что реально современные математики совершили подвиг. Если же в 4-й тоже использовалась rsa, можно подозревать, что математика пока топчется на месте, но в говне pkcs11 -- ВСЕ КЛЮЧИ, ЧТО ВЫ ГЕНЕРИТЕ, СЛИВАЮТСЯ В ФБР. Итак, если в 4-м ssh криптосистема по-умолчанию не есть rsa, это значит прорыв в математике, сравнимый с высадкой на Марс. Если же там таки rsa, это всего лишь спецоперация подлога протокола.
| | |
| 1.79, PereresusNeVlezaetBuggy (ok), 01:32, 02/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
ИМХО, хакеры не хотели, чтобы кто-то "переимел" систему за счёт какой-то незакрытой уязвимости, и честно обновляли OpenSSH. Ну ещё и щелчок по носу админам неплохой, а куда ж взломщикам без этого?
Но это лишь ИМХО. :)
BTW, насчёт 5.8p1 => p2, в release notes есть такое:
* Fix compilation failure when enabling SELinux support.
Это укладывается в теорию выше: возможно, до этого openssh скомпилировали без поддержки SELinux, а после обновления до 5.8p2 смогли включить обратно. Так как уровень взломщиков был невысокий, то нет ничего удивительного в том, что они не стали сами заморачиваться с исправлением проблем компиляции.
| | |
| |
| 2.99, StaS (??), 13:33, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
А банальный firewall когда успели отменить ?
и не тебе брутфорс, и не тебе не известные эксплоиты для ssh ))
| | |
| |
| 3.112, PereresusNeVlezaetBuggy (ok), 14:46, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А банальный firewall когда успели отменить ?
> и не тебе брутфорс, и не тебе не известные эксплоиты
> для ssh ))
Фаервол не спасёт от медленного перебора. Судя по времени подбора, там банально был простой пароль, типа qwerty123. Так что админы сами себе злобные буратины, на что и тухлая версия OpenSSH как бы намекает.
(ну да, да, некоторые ещё port knocking используют - пока однажды не столкнутся с ситуацией, что из-за него не получается пробиться легитимному юзеру)
| | |
| 3.117, Кирилл (??), 14:59, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А банальный firewall когда успели отменить ?
> и не тебе брутфорс, и не тебе не известные эксплоиты
> для ssh ))
Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя, который ввёл штатный пароль рута?
| | |
| |
| 4.144, StaS (??), 19:57, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
>> А банальный firewall когда успели отменить ?
>> и не тебе брутфорс, и не тебе не известные эксплоиты
>> для ssh ))
> Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько
> банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя,
> который ввёл штатный пароль рута?
на столько банальный что не светит на весь мир ssh порт, что сводит к минимуму бурутфорс и использование эксплоитов.
| | |
| |
| 5.146, PereresusNeVlezaetBuggy (ok), 20:01, 02/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
>>> А банальный firewall когда успели отменить ?
>>> и не тебе брутфорс, и не тебе не известные эксплоиты
>>> для ssh ))
>> Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько
>> банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя,
>> который ввёл штатный пароль рута?
> на столько банальный что не светит на весь мир ssh порт, что
> сводит к минимуму бурутфорс и использование эксплоитов.
А вот это в 99% случаев - глупость. Ибо лишает самого админа возможности оперативно что-то починить. SSH надо прикрывать фаером, но не полностью, а только ограничивать количество TCP-подключений с одного IP-адреса в единицу времени.
| | |
| |
| 6.150, vi (?), 14:40, 03/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Не, надо так:
После того как стало понятно, что это попытки взлома, перенаправлять весь этот трафик на сервера отдела К9, пусть работают (шутка, у них и так работы много!).
Перенаправлять трафик на какой нибудь HoneyPot исследовательский, пусть ребята учатся друг у друга (если это конечно не ученики по заданию учителя тренируются ;)
Главное самому не "спалится", когда будешь заходить "поадминить"!
| | |
|
|
|
|
| 2.156, wildhawk (?), 13:28, 04/12/2011 [^] [^^] [^^^] [ответить]
| +/– |
Этот прорыв в математике совершили еще до 21 века советские ученые. Кроме того, не советую использовать встроенные средства аппаратной криптографии, которые доступны на ителловских платформах.
| | |
|
| 1.154, Аноним (-), 16:59, 03/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Там в .bash_history прикольный команды, особенно улыбнуло iptables -F, а если политика DROP на INPUT ) Видно какеры какие-то.
| | |
| 1.167, Аноним (-), 17:39, 26/12/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Брутфорс мозга верить в непроверенные гипотезы каспера(призрака шалунишку), который удалил осла в 2009 году, за что его все любят и ненавидят, могли бы задать опросник сообществу центосников с коментами аля аффтар жжёш!
| | |
|
