Перейти к содержанию

Машину практически взломали, что делать? :(((


Рекомендуемые сообщения

открыт козлами порт ssh 8081 8009

chkrootkit ругается

Checking `pstree'... INFECTED

Searching for t0rn's v8 defaults... Possible t0rn v8 \(or variation\) rootkit installed

Searching for Showtee... Warning: Possible Showtee Rootkit installed

Checking `lkm'... You have 2 process hidden for ps command

Warning: Possible LKM Trojan installed

Вижу файлы и папке tmp папку с дистрибутивом LKM.

еще файлы bindshell bind53.pl

Я сидел под рутом, то есть, значит пароль рута они уже знают, он им передался. Черт побери, что делать, админ будет через 4 часа.

как принудительно закрыть сейчас все лишние порты и удалить процесс, который не видел через ps -ax, kill процесс не помогает...

он остается жив.

Что делать? пока админ едет....

Блин, что за дерьмо, машину на линуксе во второй раз взламывают, а кто то тут гнал, какие надежные системы, пиздец просто...

Ссылка на комментарий
Поделиться на другие сайты

Настраивать надо было правильно и секьюрити апдейты применять.

Пройдись по диску поиском на предмет проверки контрольных сумм файлов - неправильные замени с дистра.

Вижу файлы и папке tmp папку с дистрибутивом LKM.

еще файлы bindshell bind53.pl

Вот это можешь смело удалить.

как принудительно закрыть сейчас все лишние порты и удалить процесс, который не видел через ps -ax, kill процесс не помогает...

он остается жив.

Отлови под кем запущены процессы - и посмотри путь загрузки файлов и удали их - после киляй.

Что делать? пока админ едет....

Налимонить ему когда он приедет за разгильдяйство.

Ссылка на комментарий
Поделиться на другие сайты

я не могу изменить файлы ps ifconfig на некрянутые с бэкапа

операцию не возможно выполнить пишет.

как удалить файл я под рутом сижу, а он пишет невозможно...

Ссылка на комментарий
Поделиться на другие сайты

Извините... а какого @#$ вы сидите под рутом не на персональной машине (хотя и там злоупотреблять не следует), если некомпетентны в вопросе?.. тут вас не сломали, а самостоятельно наловили вы всякой гадости... и админ ваш тоже хорош - всех попало под рутом пускает...

Ссылка на комментарий
Поделиться на другие сайты

Что то я не вьезжаю несостыковочки

Цитата:

Что делать? пока админ едет....

Налимонить ему когда он приедет за разгильдяйство.

Цитата:

машине капут, я вещички уже собираю с этого места работы...

а причем тут вы? если у вас админ есть

Ссылка на комментарий
Поделиться на другие сайты

що вы не понимаете.

ну я админ, ну как бы числюсь в штате конторы официально.

но я то знаю, какой из меня админ, поэтому знакомого держу под рукой и когда критическая ситуация он и занимается всем этим Smile

неплохая экономия получается. ведь грамотный ум в администве не каждую минуту нужен, а только когда что-то происходит или настраиваться или обновляется.

поэтому дурачек делает вид что крутой, а когда наступает ситуация что крутой ее должен быстро разобрать, а крутой не может это сделать поскольку туп, тот моментом звонит знакомому которые приезжает и делает работу...

вроде обычная ситуация для небольших фирм

Ссылка на комментарий
Поделиться на другие сайты

"Грамотный ум" в админстве нужен всегда и везде, а при "неплохой экономии" сплошь и рядом возникают ситуации, аналогичные вашей. Поэтому могу посоветовать вам два варианта развития событий:

1. Вы собираете вещички и при увольнении рекомендуете руководству принять на работу своего знакомого, честно сообщив о своей профессиональной непригодности.

2. Прекращаете стенания и начинаете локализацию взлома и устранение его последствий, попутно учась и превращая свой ум в грамотный. Чтобы было с чего начать, прочтите последнее сообщение Master400 в данной ветке.

P.S.: Кстати, а так ли уж хорош ваш знакомый, если машину взламывают уже второй раз? Или вы попросили его о помощи после первого взлома?

Ссылка на комментарий
Поделиться на другие сайты

грамотный админ требует зарплаты 1000-1500$.

Когда у нас один мелкий сервер (а собирал его видимо какой-то умелец руками своими, то есть там самосброд) и важность данных не сверхвысокая и секретная, то держать для этого профи админа нет смысла, просто это не выгодно.

Если на то пошло, можно каждый день делать бэкап всех данных и провайдер возьмет с нас ну 300$ в месяц. И я при помощи утилиты kiss Smile указываю какие порты пустить, какие нет, и с каких ip пустить на сервер по ссш. А также работал up2date.

Вот так мы работали и работаем.

Впрочем директор знает, что тот знакомый приходит когда жопа случается, но его это полностью устраивает и меня тоже.

Раз так, то зачем менять что-то? Не я же ставил этот redhat, а тот умелец, я бы поставил фрибсд или вообще вин сервер, поскольку проще и задачи сервера обыйденные и винду больше знаю, чем юникс.

Я в линуксе не админ, а чайник, просто на меня попутно сидения в офисе на win наложены функции наблюдения за сервером...

Я и наблюдаю... взломали... не мои проблемы, переставляйте операционку, давайте деньги на новое железо и сидите сутки без почты пока сервер будут обновлять и платите сверхурочные за работу в воскресенье и вроде к провайдеру в воскресенье доступа по обычным делам нет, а если ты жмот, то и получай проблемы...

Ладно... Хакеры это скорее не хакеры, а просто кто-то кто хотел показать свои возможности "вот смотрите я взломал их сервер там моя фотка на сайте загружается вместо их сервера".

Пока еще не слышал, чтобы кому-нибудь завалился хакер и поудалял все к черту.

Ссылка на комментарий
Поделиться на другие сайты

fywbnhec писал(а) чт, 13 января 2005 21:36

грамотный админ требует зарплаты 1000-1500$.

Когда у нас один мелкий сервер (а собирал его видимо какой-то умелец руками своими, то есть там самосброд) и важность данных не сверхвысокая и секретная, то держать для этого профи админа нет смысла, просто это не выгодно.

А зачем его держать? Заплатили по-человечески за разовую работу по установке и настройке сервера и живите, запуская резервное копирование и обновление по мере надобности. Если уж не пожалели денег на Red Hat Enterprise Linux, как видно из этого вашего сообщения: http://www.linux.ru/forum/index.php?t=msg&goto=293078&am p;rid=618&S=bcb587a2081a4a9e6f0b3a21d8aa2ff1 , то зачем же экономить на развертывании оного? А отдавать его на "Митьку" тиражировать нельзя по той простой причине, что это - коммерческий продукт, как та же самая Windows.

Цитата:

Пока еще не слышал, чтобы кому-нибудь завалился хакер и поудалял все к черту.

А вы слушали? Вот только две ссылки:

http://club.azlk.ru/index.php3?mode=article&id=12566

http://www.mazafaka.ru/cgi-bin/news/zcomment.cgi?article=EpF uppVZuAKfsHXJWZ

Цитата:

Впрочем директор знает, что тот знакомый приходит когда жопа случается, но его это полностью устраивает и меня тоже.

А если так, то зачем вообще было начинать эту тему?

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...