уже второй раз мне сломали suse 7.3
если кому интересно разобраться или помочь милости прошу.
сам ничего не исправлял, не трогал. оставил все как есть.
Помню ты об этом говорил. Какие сейчас службы били включены?
>Помню ты об этом говорил. Какие сейчас службы били включены?
апач, фтп, шелл.
ты не в питере находишься?
Нет
>Нет
жаль :)
Я в Питере
Опиши что конкретно отломили
/bin не поломали ?
куда пошли логи ? (/dev/null) ?
через что прошли ?Меня в свое время ломали Адорой (кажется)
так там и ftp и http открыли и гоняли трафик туда - сюда (првда не долго)
привет
i> Опиши что конкретно отломили
да собсна ничего, поставили ирц бота на определенный канал, что дало
шанс догадываться как инициатора всего этого действа зовут :)
i> /bin не поломали ?
заменили top ps netstat
пока я только закрыл порты 80 22 21 для дотсупа не из моей сети.
с остальным не было времени разбираться %)
>пока я только закрыл порты 80 22 21 для дотсупа не из
>моей сети.В корне неверный и вредный подход. Извне должно быть запрещено вообще все. Потом должны приоткрываться _только_нужные_ крантики.
>>пока я только закрыл порты 80 22 21 для дотсупа не из
>>моей сети.
>
>В корне неверный и вредный подход. Извне должно быть запрещено вообще все.
>Потом должны приоткрываться _только_нужные_ крантики.
согласен :)
но я пока не оч хорош с файрволлом.
как понимаю в моем случае лучше всего прикрыть все запросы на установление связи извне.
буду разбираться как это сделать иптаблесом.
Что сделали с твоей машиной.
Пришли на мыло
сервис - версия
/etc/inetd.conf
листинг nmap
версию ядра
обнаруженные изменения после взлома