URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 31566
[ Назад ]

Исходное сообщение
"если кому интересно - взлом"
Отправлено LiquID , 29-Июн-03 14:04

уже второй раз мне сломали suse 7.3
если кому интересно разобраться или помочь милости прошу.
сам ничего не исправлял, не трогал. оставил все как есть.

Содержание

если кому интересно - взлом,Bart_Simpson, 14:54 , 29-Июн-03
- если кому интересно - взлом,LiquID, 15:05 , 29-Июн-03
  - если кому интересно - взлом,Bart_Simpson, 15:21 , 29-Июн-03
    - если кому интересно - взлом,LiquID, 15:28 , 29-Июн-03
  - если кому интересно - взлом,interprise, 20:06 , 01-Июл-03
    - если кому интересно - взлом,LiquID, 12:18 , 03-Июл-03
      - если кому интересно - взлом,Antonio, 13:40 , 03-Июл-03
        
        если кому интересно - взлом,LiquID, 02:36 , 04-Июл-03
если кому интересно - взлом,bsd, 19:08 , 29-Июн-03
если кому интересно - взлом,DeniS, 20:58 , 29-Июн-03

Сообщения в этом обсуждении

"если кому интересно - взлом"
Отправлено Bart_Simpson , 29-Июн-03 14:54

Помню ты об этом говорил. Какие сейчас службы били включены?

"если кому интересно - взлом"
Отправлено LiquID , 29-Июн-03 15:05

>Помню ты об этом говорил. Какие сейчас службы били включены?
апач, фтп, шелл.
ты не в питере находишься?

"если кому интересно - взлом"
Отправлено Bart_Simpson , 29-Июн-03 15:21

Нет

"если кому интересно - взлом"
Отправлено LiquID , 29-Июн-03 15:28

>Нет
жаль :)

"если кому интересно - взлом"
Отправлено interprise , 01-Июл-03 20:06

Я в Питере
Опиши что конкретно отломили
/bin не поломали ?
куда пошли логи ? (/dev/null) ?
через что прошли ?
Меня в свое время ломали Адорой (кажется)
так там и ftp и http открыли и гоняли трафик туда - сюда (првда не долго)

"если кому интересно - взлом"
Отправлено LiquID , 03-Июл-03 12:18

привет
i> Опиши что конкретно отломили
да собсна ничего, поставили ирц бота на определенный канал, что дало
шанс догадываться как инициатора всего этого действа зовут :)
i> /bin не поломали ?
заменили top ps netstat
пока я только закрыл порты 80 22 21 для дотсупа не из моей сети.
с остальным не было времени разбираться %)

"если кому интересно - взлом"
Отправлено Antonio , 03-Июл-03 13:40

>пока я только закрыл порты 80 22 21 для дотсупа не из
>моей сети.
В корне неверный и вредный подход. Извне должно быть запрещено вообще все. Потом должны приоткрываться _только_нужные_ крантики.

"если кому интересно - взлом"
Отправлено LiquID , 04-Июл-03 02:36

>>пока я только закрыл порты 80 22 21 для дотсупа не из
>>моей сети.
>
>В корне неверный и вредный подход. Извне должно быть запрещено вообще все.
>Потом должны приоткрываться _только_нужные_ крантики.
согласен :)
но я пока не оч хорош с файрволлом.
как понимаю в моем случае лучше всего прикрыть все запросы на установление связи извне.
буду разбираться как это сделать иптаблесом.

"если кому интересно - взлом"
Отправлено bsd , 29-Июн-03 19:08

Что сделали с твоей машиной.

"если кому интересно - взлом"
Отправлено DeniS , 29-Июн-03 20:58

Пришли на мыло
сервис - версия
/etc/inetd.conf
листинг nmap
версию ядра
обнаруженные изменения после взлома