Попытка подбора пароля или? / Unix-системы

ReSQL.ru

2.0.61

Полная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Попытка подбора пароля или? / 22 сообщений из 22, страница 1 из 1

28.02.2006, 22:37:08

#33572168

oraweb

Участник

Откуда: Москва
Сообщения: 218
Рейтинг: 0 / 0

Попытка подбора пароля или?

Заглянул в почту root и вижу такую фишку.
Чтобы это могло быть? Список довольно большой, поэтому привожу только начало.

--------------------- SSHD Begin ------------------------

Failed logins from these:
1/password from ::ffff:66.221.168.72: 1 Time(s)
a/password from ::ffff:66.221.168.72: 2 Time(s)
a1/password from ::ffff:63.210.138.7: 1 Time(s)
a2/password from ::ffff:63.210.138.7: 1 Time(s)
a3/password from ::ffff:63.210.138.7: 1 Time(s)
aa/password from ::ffff:63.210.138.7: 2 Time(s)
aaa/password from ::ffff:63.210.138.7: 2 Time(s)
aaron/password from ::ffff:161.53.50.60: 1 Time(s)
aaron/password from ::ffff:66.221.168.72: 1 Time(s)
abbey/password from ::ffff:161.53.50.60: 1 Time(s)
abc/password from ::ffff:63.210.138.7: 2 Time(s)
abcd/password from ::ffff:63.210.138.7: 1 Time(s)
abdul/password from ::ffff:66.221.168.72: 1 Time(s)
abigale/password from ::ffff:66.221.168.72: 1 Time(s)
и т.д.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

28.02.2006, 22:44:50

#33572175

Alex Roudnev

Участник

Откуда: Валнут Крик, Калифорния
Сообщения: 5 544
Рейтинг: 0 / 0

Попытка подбора пароля или?

Робот по подбору. Говорили детям - дети, ВСЕГДА меняйте порт 22 на что нибудь еще, если ваш сервер виден из интернета. А то его роботы замучают.

orawebЗаглянул в почту root и вижу такую фишку.
Чтобы это могло быть? Список довольно большой, поэтому привожу только начало.

--------------------- SSHD Begin ------------------------

Failed logins from these:
1/password from ::ffff:66.221.168.72: 1 Time(s)
a/password from ::ffff:66.221.168.72: 2 Time(s)
a1/password from ::ffff:63.210.138.7: 1 Time(s)
a2/password from ::ffff:63.210.138.7: 1 Time(s)
a3/password from ::ffff:63.210.138.7: 1 Time(s)
aa/password from ::ffff:63.210.138.7: 2 Time(s)
aaa/password from ::ffff:63.210.138.7: 2 Time(s)
aaron/password from ::ffff:161.53.50.60: 1 Time(s)
aaron/password from ::ffff:66.221.168.72: 1 Time(s)
abbey/password from ::ffff:161.53.50.60: 1 Time(s)
abc/password from ::ffff:63.210.138.7: 2 Time(s)
abcd/password from ::ffff:63.210.138.7: 1 Time(s)
abdul/password from ::ffff:66.221.168.72: 1 Time(s)
abigale/password from ::ffff:66.221.168.72: 1 Time(s)
и т.д.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

28.02.2006, 23:05:00

#33572186

oraweb

Участник

Откуда: Москва
Сообщения: 218
Рейтинг: 0 / 0

Попытка подбора пароля или?

Мне такую сказку в детстве не рассказывали. :)
Да, роботы пострашнее волка будут.
Благодарствую.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

01.03.2006, 09:08:25

#33572472

lissyara

Участник

Откуда: Made in USSR
Сообщения: 5 644
Рейтинг: 0 / 0

Попытка подбора пароля или?

проще скрипт в 10 строк - скокато неверных попыток - правило в фаер для
хоста.

Posted via ActualForum NNTP Server 1.3

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

01.03.2006, 10:02:26

#33572606

ALex_hha

Участник

Откуда: Украина. Харьков.
Сообщения: 2 951
Рейтинг: 0 / 0

Попытка подбора пароля или?

авторГоворили детям - дети, ВСЕГДА меняйте порт 22 на что нибудь еще, если ваш сервер виден из интернета. А то его роботы замучают.
и что это изменит? Если хакер не лох, то для начала он тебя просканирует nmap, например, и толку от того, что ты поменяешь порт?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

01.03.2006, 10:10:50

#33572632

g613

Участник

Откуда: Нижний Новгород
Сообщения: 1 314
Рейтинг: 0 / 0

Попытка подбора пароля или?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

01.03.2006, 12:30:39

#33573286

oraweb

Участник

Откуда: Москва
Сообщения: 218
Рейтинг: 0 / 0

Попытка подбора пароля или?

Короче, настроил прослушку SSH на eth1 (внутренняя сеть) и "наша граница на замке". Писать правила в фаер к сожалению пока не созрел.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

01.03.2006, 13:34:03

#33573588

ALex_hha

Участник

Откуда: Украина. Харьков.
Сообщения: 2 951
Рейтинг: 0 / 0

Попытка подбора пароля или?

ну если он снаружи и не нужен, то всегда надо убирать. И не только ssh, а любые сервисы.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

02.03.2006, 02:51:27

#33575453

oraweb

Участник

Откуда: Москва
Сообщения: 218
Рейтинг: 0 / 0

Попытка подбора пароля или?

ALex_hhaну если он снаружи и не нужен, то всегда надо убирать. И не только ssh, а любые сервисы.
Кстати, можно настроить FTP сервер (в частности vsftpd), так чтобы он прослушивал только внутреннюю сеть. Т.е. на серваке две сетевухи, одна смотрит в инет, другая на вн. сеть, соответственно, конект разрешен только к внутр.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

02.03.2006, 03:08:02

#33575455

DocAl

Участник

Откуда: Оккупирую западный берег
Сообщения: 9 935
Рейтинг: 0 / 0

Попытка подбора пароля или?

Если это вопрос, то да, должно быть можно (я использую pure-ftpd, потому не гарантирую, но это самая базовая функциональность, она должна быть).
Если это информация, то тут все в курсе, скорей всего.)

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

02.03.2006, 22:37:31

#33578487

Alex Roudnev

Участник

Откуда: Валнут Крик, Калифорния
Сообщения: 5 544
Рейтинг: 0 / 0

Попытка подбора пароля или?

ALex_hha авторГоворили детям - дети, ВСЕГДА меняйте порт 22 на что нибудь еще, если ваш сервер виден из интернета. А то его роботы замучают.
и что это изменит? Если хакер не лох, то для начала он тебя просканирует nmap, например, и толку от того, что ты поменяешь порт?

А толку то, что сканирование всех 65 тыс портов занимает ОЧЕНЬ приличное время и может использоваться ТОЛЬКО если ваш хост ломают СПЕЦИАЛЬНО. 99.999% же этих атак ведется автоматами, которые просто шарят по всей мировой сети, пробуют простые тесты (порт есть? есть. Прогнать по нему 10 тысяч логинов и паролей плюс пару эксплойтов) и не заморачиваются вариантами нестандартных портов.

Прогоните по 2 мегабитному линку nmap на полный диапазон портов (и добавьте программу которая будет еще распознавать ssh) и доложите сюда о результате. А потом прикиньте время, потребное для такого скана хотя бы сотни сетей класса C. И сравните с тупым роботом сканящим порт 22.

В реальности перенос порта уменьшает шансы на взлом (особенно на быстрый взлом роботом после публикации слабости протокола) в десятки тысяч раз. Если не в миллионы. Естественно, если вы банк и у вас там миллиарды - это не может быть единственной защитой.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

02.03.2006, 22:38:33

#33578488

Alex Roudnev

Участник

Откуда: Валнут Крик, Калифорния
Сообщения: 5 544
Рейтинг: 0 / 0

Попытка подбора пароля или?

oraweb ALex_hhaну если он снаружи и не нужен, то всегда надо убирать. И не только ssh, а любые сервисы.
Кстати, можно настроить FTP сервер (в частности vsftpd), так чтобы он прослушивал только внутреннюю сеть. Т.е. на серваке две сетевухи, одна смотрит в инет, другая на вн. сеть, соответственно, конект разрешен только к внутр.

Тогда безопаснее запустить фареволл на внешний интерфейс (тот же ipchain или что там у вас имеется в системе).

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

03.03.2006, 09:07:59

#33578849

lissyara

Участник

Откуда: Made in USSR
Сообщения: 5 644
Рейтинг: 0 / 0

Попытка подбора пароля или?

Кстати, Alex Roudnev прав почти абсолютно - поставил у себя PortSentry -
ничё не изменилось. не сканят меня. Сканят отдельные порты - причём у меня
несколько компов в пределах одной подсери - пройдутся веером по 1080, через
несколько часов другой по 8080... А больша ничего не сканят... на 22 сразу
ломятся, не сканя... 23 - вообще никто не ткнулся ни разу, ...

Posted via ActualForum NNTP Server 1.3

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

03.03.2006, 13:10:53

#33579800

oraweb

Участник

Откуда: Москва
Сообщения: 218
Рейтинг: 0 / 0

Попытка подбора пароля или?

Стыдно признаваться, но меня взломали. А с другой стороны, админом заделался пару месяцев назад, так что нас reboot, а мы крепчаем.
Понаделали, сволочи, кучу пользователей с крутыми правами, типа: "лох - не заметит". Я, конечно, лох, но не до такой степени. Короче, чтобы не заморачиваться, грохнул все по старой, виндовой привычке и поставил все по новой. Теперь на все порты смотрю не добрым глазом. Например, Xspider тут пишет - "Сервер DNS поддерживает рекурсию запросов" и, поди, разбери, каким боком это отзовется.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

03.03.2006, 14:03:13

#33580052

ALex_hha

Участник

Откуда: Украина. Харьков.
Сообщения: 2 951
Рейтинг: 0 / 0

Попытка подбора пароля или?

авторКороче, чтобы не заморачиваться, грохнул все по старой, виндовой привычке и поставил все по новой
это конечно не обязательно было делать. Но если есть возможност ту да, лучше все переустановить. А что за ОС?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

03.03.2006, 14:24:19

#33580181

--null--

Участник

Откуда: Санкт-Петербург
Сообщения: 2 915
Рейтинг: 0 / 0

Попытка подбора пароля или?

авторэто конечно не обязательно было делать.

с другой стороны- профилактика rootkit-ов :-)

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

03.03.2006, 14:33:59

#33580236

oraweb

Участник

Откуда: Москва
Сообщения: 218
Рейтинг: 0 / 0

Попытка подбора пароля или?

ALex_hha А что за ОС?
ASPLinux v10

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

03.03.2006, 15:22:59

#33580458

oraweb

Участник

Откуда: Москва
Сообщения: 218
Рейтинг: 0 / 0

Попытка подбора пароля или?

--null--с другой стороны- профилактика rootkit-ов :-)
Ага, паришься, взламываешь, следы заметаешь... А лох взял и переустановил все. И кто на кого в обиде - не понять. :) И охота с такими лохами дела иметь?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

03.03.2006, 15:36:35

#33580515

lissyara

Участник

Откуда: Made in USSR
Сообщения: 5 644
Рейтинг: 0 / 0

Попытка подбора пароля или?

самое главное - как взломали-то?

Posted via ActualForum NNTP Server 1.3

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

03.03.2006, 17:24:32

#33580991

ALex_hha

Участник

Откуда: Украина. Харьков.
Сообщения: 2 951
Рейтинг: 0 / 0

Попытка подбора пароля или?

авторс другой стороны- профилактика rootkit-ов :-)
вот про это я и говорил. Хотя можно воспользоваться - Chrootkit (Saint Jude, kScan, Carbonite, Kstat, Rootkithunter, Tripware, Samhain или подобным ПО. Т.е. впервую очередь отключаешь сервер от сети, а затем начинаешь поиск. Просто полная переустановка не всегда приемлима.

авторсамое главное - как взломали-то?
полностью согласен, надо было хоть логи было посмотреть через что взломали (apache, ssh, ftp etc). А иначе переустановка системы может ничего не дать и через некоторое время тебя опять взломают.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

03.03.2006, 17:56:08

#33581081

ALex_hha

Участник

Откуда: Украина. Харьков.
Сообщения: 2 951
Рейтинг: 0 / 0

Попытка подбора пароля или?

Вот лог выполнения chkrootkit

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57.
58.
59.
60.
61.
62.
63.
64.
65.
66.
67.
68.
69.
70.
71.
72.
73.
74.
75.
76.
77.
78.
79.
80.
81.
82.
83.
84.
85.
86.
87.
88.
89.
90.
91.
92.
93.
94.
95.
96.
97.
98.
99.
100.
101.
102.
103.
104.
105.
106.
107.
108.
109.
110.
111.
112.
113.
114.
115.
116.
117.
118.
119.
120.
121.

./chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/qt- 3 . 3 /etc/settings/.qt_plugins_3.3rc.lock /usr/lib/qt- 3 . 3 /etc/settings/.qtrc.lock /usr/lib/perl5/ 5 . 8 . 5 /i386-linux-thread-multi/.packlist

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for HKRK rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for Fu rootkit default files... nothing found
Searching for ESRK rootkit default files... nothing found
Searching for rootedoor... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... chkproc: nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... chkwtmp: nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... chklastlog: nothing deleted
Checking `chkutmp'...  The tty of the following user process(es) were not found
 in /var/run/utmp !
 ! RUID          PID TTY    CMD
 ! root          1949  tty1   /sbin/mingetty tty1
 ! root          1994  tty2   /sbin/mingetty tty2
 ! root          2186  tty6   /sbin/mingetty tty6
 ! root          2773  pts/ 3   bash -rcfile .bashrc
 ! root          2854  pts/ 3   /bin/sh ./chkrootkit
 ! root          3804  pts/ 3   ./chkutmp
 ! root          3805  pts/ 3   ps ax -o tty,pid,ruser,args
 chkutmp: nothing deleted

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

03.03.2006, 18:07:44

#33581102

--null--

Участник

Откуда: Санкт-Петербург
Сообщения: 2 915
Рейтинг: 0 / 0

Попытка подбора пароля или?

Несомненно, надо установить причину взлома
и после устранения все-таки переустановка + закрытие дыры
наиболее надежна, ибо 100%-й детектилки руткитов в природе скорее всго нету. Хотя все зависит от ситуации, конечно - если жучка нашли, то вероятнее всего, он единственный. Что тоже не факт.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&tablet=1&tid=1489721]:	0ms
get settings:	7ms
get forum list:	15ms
check forum access:	3ms
check topic access:	3ms
track hit:	44ms
get topic data:	10ms
get forum data:	2ms
get page messages:	55ms
get tp. blocked users:	1ms
others:	200ms

total:	340ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы