|
|
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
mproПросто они както рутовский пароль ломают потому что иногда я захожу и фигал до этого был левый вход, а два раза рут меняли приходилось ездить в хостинг менять пароль на живом компе. Не поленись, поставь бутылку опытному. Пускай к тебе придёт и отконфигурит всё как надо. Ты наверняка типовых косяков понаоставлял. А так, без анализа логов сказать что-либо вообще трудно... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.08.2010, 17:19 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
maytonНе лишне бы проверить свою раб. станцию на предмет клавиатурных сниферов и проч. сомнительно, что на линуховой машине единственного сисадмина они могут быть ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.08.2010, 17:40 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Когда автор сказал "avast" мне почему-то показалось что у него XP-шка в качестве рабочего места. Хотя... могу ошибаться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.08.2010, 18:00 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Ну да XP. И уже лет 5-7 не переустанавливалась. Все еще на на athlon 1700 XP+. )) Не люблю тратить время на сопутствующие действия. Если запустить команду top то от http сервера выполняется какойто скрипт на perl с 99% загрузки проца, я perl нигде не использую, соответсвенно видимо это остался троян, как вычислить где он? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 10:43 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
mpro,не трогайте его. скоро ваш сервер отключат за спам и вы наконец-то сможете заняться установкой нового дебиана. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 11:07 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
netwindmpro,не трогайте его. скоро ваш сервер отключат за спам и вы наконец-то сможете заняться установкой нового дебиана. :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 13:24 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
mproВырубил perl нафиг.. А вот это зря...Переустановить машину заново не такая большая и проблема, кстати давать root возможность входить по ssh, ну как сказать... положить ключик от квартиры под коврик перед ней... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 14:25 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
IMHO надобно для себя перечислить все смотрящие наружу сервисы, открытые порты и подумать, через что все-таки сломали. Если через ssh - то апдейтить его любой ценой, нет подписки - просто файлы взять у знакомых (по сути, может быть достаточно просто файл sshd заменить на новый и недырявый). Ну и конечно зело полезно ssh с 22 порта на какой-нибудь левый перекинуть, далеко не против профи конечно сей шаг, но авось да отстанут. Ну и вообще нафиг зафайрволиться - пусть ssh будет доступен только с того IP, с когорого админят. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 14:44 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
И... это... пароль - "password" это конечно смешно и весело, та только вот в список top 1000 worst passwords светится не один год... Хакерам раздолье... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 14:57 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Пароль roota у меня уже превысил 20 символов после всего этого. И с чего это перл я зря выключил если я его не использую. Мне нужен только PHP и mysql. В общем смысл всего этого что надо отключить все лишние сервисы и максимально зажать по безопасности нужные, тогда вероятность взлома падает многократно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 15:19 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
netwindmayton, aeugen, ребят у вас на винде тоже обновление отключено? все ясно как божий день. На какой винде??? Я виндой не пользуюсь, не соврать, уже более 5 лет! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 15:36 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Стопудово. Ты должен стать параноиком и анализировать любой тренд в логах коннектов. Короче читай умные статьи на security-lab и тогда... быть может станеш мастером кунг-фу Удачи. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 15:37 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
вот это дискуссия. Что стало основанием полагать что вас взломали? пропал конфиг ssh? там ли вы его искали и не сами ли чего накосячили? Что значит вырубил перл - это как? kill -9? rm -rf ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 17:29 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Дискуссии как таковой нет, просто о птичках разговариваем. Основания что хостер шлет угрозы отключения так как мой сайт атакует другие, сообщение в ком. строке чтото ктото вошел под рутом с другого айпи, левые коды в хтмлах сайта, сотни тысяч атак в логах и еще всякие приколы. Два раза пароль рут просто меняли. Вырубается перл в конфигах апача. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 17:34 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
mayton Ты должен стать параноиком и анализировать любой тренд в логах коннектов. Короче читай умные статьи на security-lab и тогда... быть может станеш мастером кунг-фу регулярное обновление - на 90% уже пресекает большинство взломов. Я не сталкивался ни с одним "преватным сплоетом". Cерьезно. И сомневаюсь, что вы сталкивались. Взломов много видел и, к сожалению, был потерпевшим. ВСЕГДА это были уже известные баги в ПО, просто не доходили руки их поправить или обновить какой-нибудь малозаметный компонент находящийся вне влияния общей системы обновлений. Так что первый ключевой принцип профилактики взломов - СВОЕВРЕМЕННОЕ ОБНОВЛЕНИЕ . И debian/ubuntu/centos это позволяют делать очень легко. Есть и другие принципы, но обновление, выходит - самый важный. авторкстати давать root возможность входить по ssh, ну как сказать... положить ключик от квартиры под коврик перед ней... Странное мнение. какая разница входите ли вы через ssh + su или сразу по ssh ? Впервые это внедрили в ubuntu и, похоже, с тех пор распространилось мнение о повышенной защите таким способом. На самом деле вход под root там НЕ ЗАПРЕЩЕН, просто у root пароля нет при установке. Можно выбрать экспертный режим установки и сразу уставить пароль root. От этого ubuntu она не становится менее защищенной. В конце концов, если вы входите на сервер только чтобы настроить его, то зачем вам эти лишние условности вроде sudo. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 17:52 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
netwindрегулярное обновление - на 90% уже пресекает большинство взломов. Я не сталкивался ни с одним "преватным сплоетом". Cерьезно. И сомневаюсь, что вы сталкивались. Взломов много видел и, к сожалению, был потерпевшим. ВСЕГДА это были уже известные баги в ПО, просто не доходили руки их поправить или обновить какой-нибудь малозаметный компонент находящийся вне влияния общей системы обновлений. Так что первый ключевой принцип профилактики взломов - СВОЕВРЕМЕННОЕ ОБНОВЛЕНИЕ . И debian/ubuntu/centos это позволяют делать очень легко. Есть и другие принципы, но обновление, выходит - самый важный. Не согласен с тезисом. Обновление конечно вещь немерянно важная, но существуют административные промахи, которые нельзя закрыть никакими обновлениями. Это как в шахматах детский мат в 4 хода. Хакер видит что веб-сервер запущет от рута. Потом от видит что есть возможность использовать инжекцию, и использует. И это всё делается "легко, проходя мимо..". Сколько раз, бывая в отделениях гос-банка я наблюдал как операционистка вбивает злощасный QWE123 на клавиатуре. А глаз у меня уже "пристреляный" глядеть со сторны на пароли. Насчёт того, чтобы был гладкий 100% сценарий взлома linux сервера я тоже не верю и не видел. Все эффектные видеозаписи взломов на yourtube практически неосуществимы т.к. условия взлома никак не складываются в пользу атакующего. Чаще всего самой главной причиной взлома является человеческая глупость (фактор). Она-же воплощена в архитектурных промахах. Элементарно, разработчик и сисадмин не могут договрится о правах и привилениях. В конце концов сисадмину звонит главный босс и говорит - "Братэллова... ну дай ты им этот доступ... мыж договор сёдня должны подписать и протокол принятия...". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 18:27 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
mayton, зачем такие сложности? найдется ли детская ошибка еще неизвестно, а любой бизнес требует предсказуемости, поэтому приемы работы отточены под массовый взлом. топикстартер уже написал, что ему в итоге поставили перл-скрипт для спама. диапазоны датацентров постоянно сканируются. спасибо ssh - он для совместимости всегда говорит свою версию. Cтарые версии сразу же указывают на возможно отставшую систему или вот RHEL. Дальше уже просто по списку уязвимости ищут. Наиболее успешная стратегия тут очевидно будет поиск веб-сервера со старым ядром и возможностью заливки и исполнения файлов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 19:51 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
netwind авторкстати давать root возможность входить по ssh, ну как сказать... положить ключик от квартиры под коврик перед ней... Странное мнение. какая разница входите ли вы через ssh + su или сразу по ssh ? Впервые это внедрили в ubuntu и, похоже, с тех пор распространилось мнение о повышенной защите таким способом. На самом деле вход под root там НЕ ЗАПРЕЩЕН, просто у root пароля нет при установке. Можно выбрать экспертный режим установки и сразу уставить пароль root. От этого ubuntu она не становится менее защищенной. В конце концов, если вы входите на сервер только чтобы настроить его, то зачем вам эти лишние условности вроде sudo. Вы считаете, что сломать 2-а слова легче, чем одно. Давно было, на свиче забыли пароль от телнета, так вот, по сети 10 мб, практически стандарт для инета сейчас, его сломали тупым перебором за 3-и дня, он 10-ми битовым оказался, лень было в Москву везти. Поэтому, если у вас нет блокировки по n неудачным входам... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.08.2010, 23:53 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Sergey OrlovПоэтому, если у вас нет блокировки по n неудачным входам... ....то отключите к чёртовой матери у ssh password authentication и закеры задолбаются подбирать закрытый ключ длиной 2048 бит. Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 00:04 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakovзакеры задолбаются подбирать закрытый ключ длиной 2048 бит. я бы не был столь категоричен ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 01:32 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Sergey Orlov . Поэтому, если у вас нет блокировки по n неудачным входам... то на практике годами ничего не происходит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 09:04 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Ребят. Все разговоры о инф. безопасности крутятся в 2-х. плоскостях. 1) Научная. Здесь принято говорить о временных сложностях алгоритмов, о Rainbow Tables, об атаках на крипто-алгоритмы, о недостатках современных стандартов шифрования. Исследованиями здесь активно заняты много математиков из разных стран. По этому сабжу публикуются бюлетени, и выходят научные журналы. 2) Ненаучная. Это разные глупости вроде - "Провайдер оставил инженерные пароли на модем пользователя и того беднягу ушатали злобные хацкеры". Или куль-ПХП разработчик делал сам для себя админку, но впиндюрил туда столько бэкдоров что сам спалился вместе с важной базой. Поэтому я вас прошу! Не смешивайте всё в одну кучу! Давайте мух отдельно, котлет отдельно! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 10:44 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
netwindSergey Orlov . Поэтому, если у вас нет блокировки по n неудачным входам... то на практике годами ничего не происходит. Я так тоже думал, пока в одном месте меня не попросили выяснить, почему у них трафик так резко вырос, свой админ у них уволился, и почти год все работало без проблем, проблема оказалась банальной ломились по ssh, в качестве имен пользователей были root, admin, mysql ну и т.п., причем все это делалось с одного и того же ip... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 11:41 |
|
||
|
|
start [/forum/topic.php?fid=25&msg=36783574&tid=1484785]: |
0ms |
get settings: |
7ms |
get forum list: |
14ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
196ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
44ms |
get tp. blocked users: |
1ms |
| others: | 232ms |
| total: | 511ms |
| 0 / 0 |
