|
|
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Sergey Orlov,нет, было все не так . вы пришли, сделали умный вид, ничего конкретного не нашли, кроме ssh, пароли на который подбирают у ВСЕХ. НО персонал, понял что ского будут бить тех, кто много качает, трещит в скайпе с дочерью и тд. Трафик автоматически уменьшился. Это гораздо более вероятный сценарий. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 11:47 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
netwindSergey Orlov,нет, было все не так . вы пришли, сделали умный вид, ничего конкретного не нашли, кроме ssh, пароли на который подбирают у ВСЕХ. НО персонал, понял что ского будут бить тех, кто много качает, трещит в скайпе с дочерью и тд. Трафик автоматически уменьшился. Это гораздо более вероятный сценарий. Да, так и было, вот только зал у них один и увидеть, что делает сосед может любой, находящий в нем, вот только счет вместо стандартных 3-х тысяч пришел на 11... Ничего не менял поставил только sshit и получил немного денежек... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 14:06 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Sergey Orlov, ну давайте для замерим типичный трафик за сутки в типичном датацентре на 22 порт. я в 13:30 уже поставил специальное правило в iptables для учета. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.08.2010, 16:48 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Какимто образом опять удалось добавить нового юзера. Я уже за****. Как вычислить как они это делают? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 10:38 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
есть у вас там такое Код: plaintext ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 10:43 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Пишет что нет такого файла. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 10:50 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Вот это напрмер что значит? # ~/.bash_logout # invalidate the gpm selection buffer iff logging out from a # virtual terminal if test -x /sbin/consoletype && /sbin/consoletype fg then if test -r /var/run/gpm.pid && test -d "/proc/$(/bin/cat /var/run/gpm.pid)" then kill -USR2 "$(/bin/cat /var/run/gpm.pid)" fi fi clear ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 11:07 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Simple SQLi Dumper (SSDp) v5.1 for MySQL [README] Author: Vrs-hCk EMail: ander[at]antisecurity.org Website: http://www.antisecurity.org SSDp v5.1 DESCRIPTION --------------------- SSDp is Open Source PHP MySQL Injection Tool. Written in Perl Scripting Language. вот еще нашел... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 11:10 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
а Код: plaintext ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 11:38 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
разные логи.. в secure Aug 11 20:37:56 vag-service useradd[19064]: new group: name=cumi, gid=996 Aug 11 20:37:56 vag-service useradd[19064]: new user: name=cumi, uid=992, gid=996, home=/usr/local/agentx, shell=/bin/bash ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 11:52 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Запущено от root два десятка процессов perl, как найти откуда они запущены? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 12:37 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
mpro, cd /proc/<pid>/cwd ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 12:48 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
mproЗапущено от root два десятка процессов perl, как найти откуда они запущены? скорее всего они запущены из Урюпинска - мировой столицы хакерского движения. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 12:50 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
582 пакетов, 54300 байт. всего лишь 40 попыток за сутки. но это не очень удачная машина так как не находится в адресном пространстве известных хостеров. на других пока не могу подсчитать из-за того что ssh использовали для работы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.08.2010, 16:49 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
netwind582 пакетов, 54300 байт. всего лишь 40 попыток за сутки. но это не очень удачная машина так как не находится в адресном пространстве известных хостеров. на других пока не могу подсчитать из-за того что ssh использовали для работы. Теоритически получается, 1к на попытку, а если долбеж примерно 1-на попытка в секунду, 60к за минуту, 3.6метра в час, 70 метров в сутки. Но это, если 1-на попытка в секунду, в моем случае весь офис делал примерно 110 метров в сутки, auth.log (100к) заполнялся примерно за 3-и минуты, тачка стояла приличная и этот долбеж ей был пофиг, в день набегало примерно 200 метров, а трафик по сквиду все хоккей.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.08.2010, 01:06 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Как увлекательно байты считать, чем еще админу заниматься.. А по тебе ни одного совета как взлом отследить, забавно. Может ктонить подскажет хотябы как в postfix сделать использование своего юзера, причем достаточно одного, без доступа к linux пользователям? (чтото документация у postfix мутная) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.08.2010, 11:42 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Вот настройки, но где тут пароль пишется не понимаю.. Postfix virtual MAILBOX example: separate domains, non-UNIX accounts As a system hosts more and more domains and users, it becomes less desirable to give every user their own UNIX system account. With the Postfix virtual(8) mailbox delivery agent, every recipient address can have its own virtual mailbox. Unlike virtual alias domains, virtual mailbox domains do not need the clumsy translation from each recipient addresses into a different address, and owners of a virtual mailbox address do not need to have a UNIX system account. The Postfix virtual(8) mailbox delivery agent looks up the user mailbox pathname, uid and gid via separate tables that are searched with the recipient's mail address. Maildir style delivery is turned on by terminating the mailbox pathname with "/". If you find the idea of multiple tables bothersome, remember that you can migrate the information (once it works), to an SQL database. If you take that route, be sure to review the "local files versus databases" section at the top of this document. Here is an example of a virtual mailbox domain "example.com": 1 /etc/postfix/main.cf: 2 virtual_mailbox_domains = example.com ...more domains... 3 virtual_mailbox_base = /var/mail/vhosts 4 virtual_mailbox_maps = hash:/etc/postfix/vmailbox 5 virtual_minimum_uid = 100 6 virtual_uid_maps = static:5000 7 virtual_gid_maps = static:5000 8 virtual_alias_maps = hash:/etc/postfix/virtual 9 10 /etc/postfix/vmailbox: 11 info@example.com example.com/info 12 sales@example.com example.com/sales/ 13 # Comment out the entry below to implement a catch-all. 14 # @example.com example.com/catchall 15 ...virtual mailboxes for more domains... 16 17 /etc/postfix/virtual: 18 postmaster@example.com postmaster ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.08.2010, 11:54 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Как увлекательно байты считать, чем еще админу заниматься.. А по тебе ни одного совета как взлом отследить, забавно. Если комп хакнули, то почему Вы считаете, что и в следующий раз ломятся снаружи? Может просто изнутри туннель, к примеру, поднимают? А Вы все порты закрываете ... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.08.2010, 13:20 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Я и внутри уже потер все что мог. Пока вот тихо вторые сутки, только почту настроить не могу.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.08.2010, 13:26 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
mproА по тебе ни одного совета как взлом отследить, забавно.Простите конечно, но тут еще на второй странице оценили Вашу квалификацию и посоветовали обратиться к знающим людям ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.08.2010, 19:22 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Sergey Orlov Теоритически получается, 1к на попытку, а если долбеж примерно 1-на попытка в секунду, 60к за минуту, 3.6метра в час, 70 метров в сутки. Но это, если 1-на попытка в секунду, в моем случае весь офис делал примерно 110 метров в сутки, auth.log (100к) заполнялся примерно за 3-и минуты, тачка стояла приличная и этот долбеж ей был пофиг, в день набегало примерно 200 метров, а трафик по сквиду все хоккей.... да практически никто не долбит там сутки. подолбят на самые тупые пароли и отстанут. вот сейчас перемерял на 2 IP в типичном датацентре, на 22 порту и 4458 попыток за сутки. В общем, есть сильные сомнения, что трафик нагнал подбор ssh. По крайней мере обычно такого не бывает, хотя и не исключаю такого совпадения у вас. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2010, 11:39 |
|
||
|
Хакеры и SSH
|
|||
|---|---|---|---|
|
#18+
Вот тут пишут про TCP_WRAPPERS. Может автору пригодится. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.08.2010, 12:34 |
|
||
|
|
start [/forum/topic.php?fid=25&msg=36787739&tid=1484785]: |
0ms |
get settings: |
7ms |
get forum list: |
20ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
174ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
56ms |
get tp. blocked users: |
1ms |
| others: | 207ms |
| total: | 484ms |
| 0 / 0 |
