Попытка подбора пароля или? / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Попытка подбора пароля или?

22 сообщений из 22, страница 1 из 1

Попытка подбора пароля или?

#33572168

oraweb

Участник

Откуда: Москва

Сообщения: 218

Рейтинг: 0 / 0

Заглянул в почту root и вижу такую фишку.
Чтобы это могло быть? Список довольно большой, поэтому привожу только начало.

--------------------- SSHD Begin ------------------------

Failed logins from these:
1/password from ::ffff:66.221.168.72: 1 Time(s)
a/password from ::ffff:66.221.168.72: 2 Time(s)
a1/password from ::ffff:63.210.138.7: 1 Time(s)
a2/password from ::ffff:63.210.138.7: 1 Time(s)
a3/password from ::ffff:63.210.138.7: 1 Time(s)
aa/password from ::ffff:63.210.138.7: 2 Time(s)
aaa/password from ::ffff:63.210.138.7: 2 Time(s)
aaron/password from ::ffff:161.53.50.60: 1 Time(s)
aaron/password from ::ffff:66.221.168.72: 1 Time(s)
abbey/password from ::ffff:161.53.50.60: 1 Time(s)
abc/password from ::ffff:63.210.138.7: 2 Time(s)
abcd/password from ::ffff:63.210.138.7: 1 Time(s)
abdul/password from ::ffff:66.221.168.72: 1 Time(s)
abigale/password from ::ffff:66.221.168.72: 1 Time(s)
и т.д.

...

Рейтинг:

0 / 0

28.02.2006, 22:37:08

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33572175

Alex Roudnev

Участник

Откуда: Валнут Крик, Калифорния

Сообщения: 5 544

Рейтинг: 0 / 0

Робот по подбору. Говорили детям - дети, ВСЕГДА меняйте порт 22 на что нибудь еще, если ваш сервер виден из интернета. А то его роботы замучают.

orawebЗаглянул в почту root и вижу такую фишку.
Чтобы это могло быть? Список довольно большой, поэтому привожу только начало.

--------------------- SSHD Begin ------------------------

Failed logins from these:
1/password from ::ffff:66.221.168.72: 1 Time(s)
a/password from ::ffff:66.221.168.72: 2 Time(s)
a1/password from ::ffff:63.210.138.7: 1 Time(s)
a2/password from ::ffff:63.210.138.7: 1 Time(s)
a3/password from ::ffff:63.210.138.7: 1 Time(s)
aa/password from ::ffff:63.210.138.7: 2 Time(s)
aaa/password from ::ffff:63.210.138.7: 2 Time(s)
aaron/password from ::ffff:161.53.50.60: 1 Time(s)
aaron/password from ::ffff:66.221.168.72: 1 Time(s)
abbey/password from ::ffff:161.53.50.60: 1 Time(s)
abc/password from ::ffff:63.210.138.7: 2 Time(s)
abcd/password from ::ffff:63.210.138.7: 1 Time(s)
abdul/password from ::ffff:66.221.168.72: 1 Time(s)
abigale/password from ::ffff:66.221.168.72: 1 Time(s)
и т.д.

...

Рейтинг:

0 / 0

28.02.2006, 22:44:50

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33572186

oraweb

Участник

Откуда: Москва

Сообщения: 218

Рейтинг: 0 / 0

Мне такую сказку в детстве не рассказывали. :)
Да, роботы пострашнее волка будут.
Благодарствую.

...

Рейтинг:

0 / 0

28.02.2006, 23:05:00

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33572472

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

проще скрипт в 10 строк - скокато неверных попыток - правило в фаер для
хоста.

Posted via ActualForum NNTP Server 1.3

...

Рейтинг:

0 / 0

01.03.2006, 09:08:25

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33572606

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

авторГоворили детям - дети, ВСЕГДА меняйте порт 22 на что нибудь еще, если ваш сервер виден из интернета. А то его роботы замучают.
и что это изменит? Если хакер не лох, то для начала он тебя просканирует nmap, например, и толку от того, что ты поменяешь порт?

...

Рейтинг:

0 / 0

01.03.2006, 10:02:26

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33572632

g613

Участник

Откуда: Нижний Новгород

Сообщения: 1 314

Рейтинг: 0 / 0

...

Рейтинг:

0 / 0

01.03.2006, 10:10:50

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33573286

oraweb

Участник

Откуда: Москва

Сообщения: 218

Рейтинг: 0 / 0

Короче, настроил прослушку SSH на eth1 (внутренняя сеть) и "наша граница на замке". Писать правила в фаер к сожалению пока не созрел.

...

Рейтинг:

0 / 0

01.03.2006, 12:30:39

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33573588

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

ну если он снаружи и не нужен, то всегда надо убирать. И не только ssh, а любые сервисы.

...

Рейтинг:

0 / 0

01.03.2006, 13:34:03

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33575453

oraweb

Участник

Откуда: Москва

Сообщения: 218

Рейтинг: 0 / 0

ALex_hhaну если он снаружи и не нужен, то всегда надо убирать. И не только ssh, а любые сервисы.
Кстати, можно настроить FTP сервер (в частности vsftpd), так чтобы он прослушивал только внутреннюю сеть. Т.е. на серваке две сетевухи, одна смотрит в инет, другая на вн. сеть, соответственно, конект разрешен только к внутр.

...

Рейтинг:

0 / 0

02.03.2006, 02:51:27

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33575455

DocAl

Участник

Откуда: Оккупирую западный берег

Сообщения: 9 935

Рейтинг: 0 / 0

Если это вопрос, то да, должно быть можно (я использую pure-ftpd, потому не гарантирую, но это самая базовая функциональность, она должна быть).
Если это информация, то тут все в курсе, скорей всего.)

...

Рейтинг:

0 / 0

02.03.2006, 03:08:02

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33578487

Alex Roudnev

Участник

Откуда: Валнут Крик, Калифорния

Сообщения: 5 544

Рейтинг: 0 / 0

ALex_hha авторГоворили детям - дети, ВСЕГДА меняйте порт 22 на что нибудь еще, если ваш сервер виден из интернета. А то его роботы замучают.
и что это изменит? Если хакер не лох, то для начала он тебя просканирует nmap, например, и толку от того, что ты поменяешь порт?

А толку то, что сканирование всех 65 тыс портов занимает ОЧЕНЬ приличное время и может использоваться ТОЛЬКО если ваш хост ломают СПЕЦИАЛЬНО. 99.999% же этих атак ведется автоматами, которые просто шарят по всей мировой сети, пробуют простые тесты (порт есть? есть. Прогнать по нему 10 тысяч логинов и паролей плюс пару эксплойтов) и не заморачиваются вариантами нестандартных портов.

Прогоните по 2 мегабитному линку nmap на полный диапазон портов (и добавьте программу которая будет еще распознавать ssh) и доложите сюда о результате. А потом прикиньте время, потребное для такого скана хотя бы сотни сетей класса C. И сравните с тупым роботом сканящим порт 22.

В реальности перенос порта уменьшает шансы на взлом (особенно на быстрый взлом роботом после публикации слабости протокола) в десятки тысяч раз. Если не в миллионы. Естественно, если вы банк и у вас там миллиарды - это не может быть единственной защитой.

...

Рейтинг:

0 / 0

02.03.2006, 22:37:31

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33578488

Alex Roudnev

Участник

Откуда: Валнут Крик, Калифорния

Сообщения: 5 544

Рейтинг: 0 / 0

oraweb ALex_hhaну если он снаружи и не нужен, то всегда надо убирать. И не только ssh, а любые сервисы.
Кстати, можно настроить FTP сервер (в частности vsftpd), так чтобы он прослушивал только внутреннюю сеть. Т.е. на серваке две сетевухи, одна смотрит в инет, другая на вн. сеть, соответственно, конект разрешен только к внутр.

Тогда безопаснее запустить фареволл на внешний интерфейс (тот же ipchain или что там у вас имеется в системе).

...

Рейтинг:

0 / 0

02.03.2006, 22:38:33

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33578849

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

Кстати, Alex Roudnev прав почти абсолютно - поставил у себя PortSentry -
ничё не изменилось. не сканят меня. Сканят отдельные порты - причём у меня
несколько компов в пределах одной подсери - пройдутся веером по 1080, через
несколько часов другой по 8080... А больша ничего не сканят... на 22 сразу
ломятся, не сканя... 23 - вообще никто не ткнулся ни разу, ...

Posted via ActualForum NNTP Server 1.3

...

Рейтинг:

0 / 0

03.03.2006, 09:07:59

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33579800

oraweb

Участник

Откуда: Москва

Сообщения: 218

Рейтинг: 0 / 0

Стыдно признаваться, но меня взломали. А с другой стороны, админом заделался пару месяцев назад, так что нас reboot, а мы крепчаем.
Понаделали, сволочи, кучу пользователей с крутыми правами, типа: "лох - не заметит". Я, конечно, лох, но не до такой степени. Короче, чтобы не заморачиваться, грохнул все по старой, виндовой привычке и поставил все по новой. Теперь на все порты смотрю не добрым глазом. Например, Xspider тут пишет - "Сервер DNS поддерживает рекурсию запросов" и, поди, разбери, каким боком это отзовется.

...

Рейтинг:

0 / 0

03.03.2006, 13:10:53

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33580052

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

авторКороче, чтобы не заморачиваться, грохнул все по старой, виндовой привычке и поставил все по новой
это конечно не обязательно было делать. Но если есть возможност ту да, лучше все переустановить. А что за ОС?

...

Рейтинг:

0 / 0

03.03.2006, 14:03:13

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33580181

--null--

Участник

Откуда: Санкт-Петербург

Сообщения: 2 915

Рейтинг: 0 / 0

авторэто конечно не обязательно было делать.

с другой стороны- профилактика rootkit-ов :-)

...

Рейтинг:

0 / 0

03.03.2006, 14:24:19

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33580236

oraweb

Участник

Откуда: Москва

Сообщения: 218

Рейтинг: 0 / 0

ALex_hha А что за ОС?
ASPLinux v10

...

Рейтинг:

0 / 0

03.03.2006, 14:33:59

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33580458

oraweb

Участник

Откуда: Москва

Сообщения: 218

Рейтинг: 0 / 0

--null--с другой стороны- профилактика rootkit-ов :-)
Ага, паришься, взламываешь, следы заметаешь... А лох взял и переустановил все. И кто на кого в обиде - не понять. :) И охота с такими лохами дела иметь?

...

Рейтинг:

0 / 0

03.03.2006, 15:22:59

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33580515

lissyara

Участник

Откуда: Made in USSR

Сообщения: 5 644

Рейтинг: 0 / 0

самое главное - как взломали-то?

Posted via ActualForum NNTP Server 1.3

...

Рейтинг:

0 / 0

03.03.2006, 15:36:35

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33580991

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

авторс другой стороны- профилактика rootkit-ов :-)
вот про это я и говорил. Хотя можно воспользоваться - Chrootkit (Saint Jude, kScan, Carbonite, Kstat, Rootkithunter, Tripware, Samhain или подобным ПО. Т.е. впервую очередь отключаешь сервер от сети, а затем начинаешь поиск. Просто полная переустановка не всегда приемлима.

авторсамое главное - как взломали-то?
полностью согласен, надо было хоть логи было посмотреть через что взломали (apache, ssh, ftp etc). А иначе переустановка системы может ничего не дать и через некоторое время тебя опять взломают.

...

Рейтинг:

0 / 0

03.03.2006, 17:24:32

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33581081

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

Вот лог выполнения chkrootkit

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.
77.
78.
79.
80.
81.
82.
83.
84.
85.
86.
87.
88.
89.
90.
91.
92.
93.
94.
95.
96.
97.
98.
99.
100.
101.
102.
103.
104.
105.
106.
107.
108.
109.
110.
111.
112.
113.
114.
115.
116.
117.
118.
119.
120.
121.

./chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/qt- 3 . 3 /etc/settings/.qt_plugins_3.3rc.lock /usr/lib/qt- 3 . 3 /etc/settings/.qtrc.lock /usr/lib/perl5/ 5 . 8 . 5 /i386-linux-thread-multi/.packlist

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for HKRK rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'...  The tty of the following user process(es) were not found
 in /var/run/utmp !
 ! RUID          PID TTY    CMD
 ! root          1949  tty1   /sbin/mingetty tty1
 ! root          1994  tty2   /sbin/mingetty tty2
 ! root          2186  tty6   /sbin/mingetty tty6
 ! root          2773  pts/ 3   bash -rcfile .bashrc
 ! root          2854  pts/ 3   /bin/sh ./chkrootkit
 ! root          3804  pts/ 3   ./chkutmp
 ! root          3805  pts/ 3   ps ax -o tty,pid,ruser,args
 chkutmp: nothing deleted

...

Рейтинг:

0 / 0

03.03.2006, 17:56:08

| Ответить | Цитировать | Написать

Попытка подбора пароля или?

#33581102

--null--

Участник

Откуда: Санкт-Петербург

Сообщения: 2 915

Рейтинг: 0 / 0

Несомненно, надо установить причину взлома
и после устранения все-таки переустановка + закрытие дыры
наиболее надежна, ибо 100%-й детектилки руткитов в природе скорее всго нету. Хотя все зависит от ситуации, конечно - если жучка нашли, то вероятнее всего, он единственный. Что тоже не факт.

...

Рейтинг:

0 / 0

03.03.2006, 18:07:44

| Ответить | Цитировать | Написать

22 сообщений из 22, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Попытка подбора пароля или?

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=33580458&tid=1489721]:	0ms
get settings:	7ms
get forum list:	14ms
check forum access:	3ms
check topic access:	3ms
track hit:	37ms
get topic data:	8ms
get forum data:	2ms
get page messages:	57ms
get tp. blocked users:	1ms
others:	202ms

total:	334ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы