URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 81567
[ Назад ]

Исходное сообщение
"Разбор последствий взлома Linux-хостов выявил странную актив..."

Отправлено opennews , 01-Дек-11 15:58 
В блоге Лаборатории Касперского появилась заметка (http://www.securelist.com/en/blog/625/The_Mystery_of_Duqu_Pa... с разбором последствий взлома двух Linux-хостов, используемых злоумышленниками для управления Windows-машинами, пораженными троянским ПО Duqu (http://en.wikipedia.org/wiki/Duqu). Хосты были представлены для анализа после того, как злоумышленники пытаясь замести следы, удалили содержимое директорий "/var/log" и "/root" с серверов. Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома.


Судя по всему управление машинами было получено в результате подбора пароля для пользователя root, которому был разрешён вход по SSH. Об этом свидетельствует длительная череда неудачных попыток входа, окончившихся удачным проникновением в систему. Из всей активности злоумышленников вызывает вопрос операци...

URL: http://www.securelist.com/en/blog/625/The_Mystery_of_Duqu_Pa...
Новость: http://www.opennet.me/opennews/art.shtml?num=32437


Содержание

Сообщения в этом обсуждении
"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 16:07 
> Возможно для атаки использовался какой-то эксплоит, рассчитанный на поражение CentOS.

Да все проще. Центос ломать одно удовольствие: там обновления безопасности по году не приходят.
Не понимаю, зачем его где-то вообще юзают. Все, кому нужен бесплатный рхел без гемора, уже давно ушли на SL.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 16:31 
Можно подумать что у hardhat'а какой-то особый ssh.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 16:40 
Да, есть маленько. А еще у них ядро особое.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 17:15 
> Да, есть маленько.

И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 17:28 
SELINUX

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 19:34 
> SELINUX

Вы что, блондинка? Или зачем тут капс? Кроме того, если уж хост взломали - значит он не помог и теория о том что это очень круто не подтвердилась естественным путем.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено anonymous , 02-Дек-11 01:46 
Гадайта гадайте, вот еще вариант - может как в 99.9999999% всех остальных случаев пароль рута был "777" ?

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 14:28 
> Вы что, блондинка? Или зачем тут капс? Кроме того, если уж хост
> взломали - значит он не помог и теория о том что
> это очень круто не подтвердилась естественным путем.

А еще был опровергнута теория о том, что *nix - это защищенные системы.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 16:47 
> А еще был опровергнута теория о том, что *nix - это защищенные системы.

А вот это как бы это зависит от метода взлома. А то может и правда подобрали суперпароль "777" с 8й попытки. Таким методом любую систему можно взломать :)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Кирилл , 02-Дек-11 19:47 

> А еще был опровергнута теория о том, что *nix - это защищенные
> системы.

Вообще-то, сверх защищённые. За пару минут можно закрыть так, что и сам не попадёшь. Но это от глупости не защищает.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 14:31 
> И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.

Тамошний ssh имеет очень мало общего с аналогичной версией из мейнстрима. Например, уже давно в редхатовском openssh 4.8 поддерживается chroot юзеров после логина, хотя в мейнстриме это добавили где-то после 5.0.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Кирилл , 02-Дек-11 14:50 
>> И чего у них там есть? Про ядра заскипано: неинтересно. Про ssh расскажите.
> Тамошний ssh имеет очень мало общего с аналогичной версией из мейнстрима. Например,
> уже давно в редхатовском openssh 4.8 поддерживается chroot юзеров после логина,
> хотя в мейнстриме это добавили где-то после 5.0.

Очень полезно пихать в песочницу рута.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 16:10 
> Очень полезно пихать в песочницу рута.

(Бес)полезно для рута == (бес)полезно для всех остальных юзеров?


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 16:48 
> Очень полезно пихать в песочницу рута.

А зачем нужен рут в песочнице? Чтобы дети могли "поиграть в сисадмина"? :)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Анонище , 01-Дек-11 16:43 
Куда интереснее -каким макаром произошло проникновение.  А что, что ПО меняли, так и ладно, не в музей же попали.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 16:51 
> Куда интереснее -каким макаром произошло проникновение.  А что, что ПО меняли,
> так и ладно, не в музей же попали.

Journal там пока что не внедрили, так что без шансов.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 16:59 
>> Куда интереснее -каким макаром произошло проникновение.  А что, что ПО меняли,
>> так и ладно, не в музей же попали.
> Journal там пока что не внедрили, так что без шансов.

А что бы это изменило?


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 18:20 
Никто бы даже не узнал о взломе, очевидно.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 14:15 
> Никто бы даже не узнал о взломе, очевидно.

Да, на системах с syslog о взломе можно узнать только если повезет.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Кирилл , 02-Дек-11 14:48 
Удалённая регистрация событий + вывод всех событий авторизации на старый добрый матричный принтер с рулоном бумаги.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 15:59 
> Удалённая регистрация событий + вывод всех событий авторизации на старый добрый матричный
> принтер с рулоном бумаги.

Получится такой аналог Journal в стиле прошлого века.

P.S. Кстати, тут пробегала инфа, что хакеры научились удаленно поджигать принтеры, гоняя их в некорректных режимах =)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Кирилл , 02-Дек-11 19:41 

> Получится такой аналог Journal в стиле прошлого века.

Почему прошлого? У меня так на всех шлюзах. Регистрация всех важных событий локально на шлюзах идут на быстрые рулонные матричники. На практике оказалось очень полезно.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 03-Дек-11 16:26 
> Почему прошлого? У меня так на всех шлюзах. Регистрация всех важных событий локально на шлюзах идут на быстрые рулонные матричники. На практике оказалось очень полезно.

До тех пор, пока хакеры не начнут их поджигать.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено аноним1 , 09-Дек-11 22:40 
сколько нарушителей и за сколько лет поймали, если не секрет?

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 16:49 
> принтер с рулоном бумаги.

Прочиталось как с рулоном туалетной бумаги, извините :)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Кирилл , 02-Дек-11 19:45 

> Прочиталось как с рулоном туалетной бумаги, извините :)

Туалетную утащат )))


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 14:18 
> А что бы это изменило?

Был бы более-менее доверительный механизм удаленного логгирования, с авторизацией и шифрованием.
Впрочем, настоящие ценители syslog и необновленных центосов, как правило, презирают удаленное логгирование (неудивительно, с такой-то реализацией, как в syslog).


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Кирилл , 02-Дек-11 14:52 

> Был бы более-менее доверительный механизм удаленного логгирования, с авторизацией и шифрованием.

Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 15:58 
> Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.

Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец может назваться Апачом и писать в лог от его имени.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено PereresusNeVlezaetBuggy , 02-Дек-11 16:04 
>> Он есть. И rsyslog и syslog-ng имеют возможность передачи по SSL и проверкой хэша.
> Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец
> может назваться Апачом и писать в лог от его имени.

А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 16:12 
> А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :)

Да и незачем. Смысл записи во много определяется ее контекстом. А нужный контекст обеспечить - не проблема.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено PereresusNeVlezaetBuggy , 02-Дек-11 16:14 
>> А вот помешать Апачу писать в лог от своего имени ему заметно сложнее. :)
> Да и незачем. Смысл записи во много определяется ее контекстом. А нужный
> контекст обеспечить - не проблема.

В плане? Запись из error_log, указывающая на попытку взлома, чем только ни дополняй, никуда не денется. В том числе, от анализатора логов.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 16:50 
> дополняй, никуда не денется. В том числе, от анализатора логов.

А что помешает хакеру убрать ее втихарика без палева?


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено PereresusNeVlezaetBuggy , 02-Дек-11 19:10 
>> дополняй, никуда не денется. В том числе, от анализатора логов.
> А что помешает хакеру убрать ее втихарика без палева?

Отсутствие прав (если ещё не рут, а только пытаеццо).


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 19:55 
> Отсутствие прав (если ещё не рут, а только пытаеццо).

Ну так если успешно попытается - права будут. У поттеринга он может разве что целиком все грохнуть, но настолько эпичная диверсия является вопиющим признаком что на машине хакер. В случае обычных логов можно втихушку вытерить записи о себе любимом и все, комар носа не подточит. Кроме разве что случая когда есть ремотный сервер, на который впрочем просто так тоже никто не полезет сравнивать лог с локальным.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено PereresusNeVlezaetBuggy , 02-Дек-11 19:59 
>> Отсутствие прав (если ещё не рут, а только пытаеццо).
> Ну так если успешно попытается - права будут.

Вот пока он будет пытаться, его и засекут. Если за машиной будут следить только полтора землекопа, и те исключительно вручную (обычно это означает раз в неделю залогиниться и глянуть top), то понятно, можно много чего пропустить.

И я молчу про то, что тот же syslog надо по-хорошему на другую машину отправлять. Которую... ну, пусть пробуют, ломают, если у неё кроме приёмника логов и SSH ничего нет. :)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 09-Дек-11 12:40 
> Вот пока он будет пытаться, его и засекут.

Или не засекут, в зависимости от мастерства хакера и админа.

> Если за машиной будут следить только полтора землекопа, и те исключительно
> вручную (обычно это означает раз в неделю залогиниться и глянуть top),
> то понятно, можно много чего пропустить.

Ну, можно посадить десяток китайцев самолично пакеты раскидывать, но их кормить надо и скорость в PPS'ах так себе :)

> И я молчу про то, что тот же syslog надо по-хорошему на
> другую машину отправлять. Которую... ну, пусть пробуют, ломают, если у неё
> кроме приёмника логов и SSH ничего нет. :)

Ага, только мутная активность в ssh может означать и какой-то race condition в этом самом ssh. Тогда вполне себе поломают.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено PereresusNeVlezaetBuggy , 09-Дек-11 16:03 
> Ага, только мутная активность в ssh может означать и какой-то race condition
> в этом самом ssh. Тогда вполне себе поломают.

Эта возможность была озвучена, так как она возможно, но не слишком вероятна. А вот на подбор ламерского пароля как раз похоже. :) Хотя, конечно, зарекаться никогда нельзя.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 18:31 
> В плане? Запись из error_log, указывающая на попытку взлома, чем только ни дополняй, никуда не денется. В том числе, от анализатора логов.

А зачем ее куда-то девать? Достаточно накидать туда еще пару сотен тысяч таких же записей с разными айпишниками и разными путями, и все, хрен кто что поймет.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено PereresusNeVlezaetBuggy , 02-Дек-11 19:11 
>> В плане? Запись из error_log, указывающая на попытку взлома, чем только ни дополняй, никуда не денется. В том числе, от анализатора логов.
> А зачем ее куда-то девать? Достаточно накидать туда еще пару сотен тысяч
> таких же записей с разными айпишниками и разными путями, и все,
> хрен кто что поймет.

Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, хоть из /dev/zero заполните всё остальное: анализатор реагирует на конкретные паттерны.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 03-Дек-11 16:29 
> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, хоть
> из /dev/zero заполните всё остальное: анализатор реагирует на конкретные паттерны.

Еще раз: лог заполняется не мусором, а вполне определенными записями, соответствующими тем самым паттернам. В результате даже на выходе анализатора логов будет огромная куча ложной информации, неотличимой от единичных истинных записей.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено PereresusNeVlezaetBuggy , 03-Дек-11 21:29 
>> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, хоть
>> из /dev/zero заполните всё остальное: анализатор реагирует на конкретные паттерны.
> Еще раз: лог заполняется не мусором, а вполне определенными записями, соответствующими
> тем самым паттернам. В результате даже на выходе анализатора логов будет
> огромная куча ложной информации, неотличимой от единичных истинных записей.

И как вы собираетесь подделывать логи?

Вот вам access-лог Apache. Имеем отметку времени, IP-адрес, GET-запрос, UA, ну и что там админу ещё захочется видеть. Как вы забьёте ложной информацией первые записи, которые могут послужить индикатором проникновения, если они появляются в журнале по определению ДО того, как вы получите возможность что-то сделать? Будете заранее загаживать логи с других IP-адресов? - это всего лишь покажет: а) что атака была по факту начата раньше; б) что в access-логах действительно есть что-то ценное, и уж тогда они будут проанализированы куда пристальнее. Повторюсь, от анализатора логов это НЕ СПАСЁТ.

Ну а если у вас есть возможность непосредственно изменять логи, то это уже совсем другой разговор.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 09-Дек-11 12:42 
> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор,

Так надо сделать чтобы не пофиг было :). Кидаем еще 100500 записей в таком же духе. Админ худеет от необходимости анализировать 100500 инцедентов с разных айпи, отличая где там фэйк а где правда :)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено PereresusNeVlezaetBuggy , 09-Дек-11 16:05 
>> Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор,
> Так надо сделать чтобы не пофиг было :). Кидаем еще 100500 записей
> в таком же духе. Админ худеет от необходимости анализировать 100500 инцедентов
> с разных айпи, отличая где там фэйк а где правда :)

В таком случае фэйковые логи по определению будут идти _после_ "реальных". Этого вполне достаточно, чтобы выделить истинных виновников. Может быть fail только если ротация с удалением старых логов происходит по размеру файлов, но тут уж извините, мешать стрелять себе в ногу никто запретить не может. :)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Кирилл , 02-Дек-11 19:43 

> Но логам-то все равно нельзя верить. Как справедливо заметил Поттеринг, любой троянец
> может назваться Апачом и писать в лог от его имени.

Причём тут верить или не верить. Главное зарегистрировать хронологию событий. Очень сложно произвести даже попытку взлома без явных вопиющих следов, оставленных ещё до вторжения.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 03-Дек-11 16:31 
> Главное зарегистрировать хронологию событий

... которых не было.
Любой бот может завалить лог гигабайтными потоками "какбэ событий", в которых реальные факты просто утонут.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено аноним1 , 09-Дек-11 22:44 
> Journal там пока что не внедрили, так что без шансов.

что за Journal, простите??



"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Вова , 01-Дек-11 17:50 
Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс (помимо фат)) можно восстанавливать файлы после удаления. Или всё-таки по старинке - grep xxx /dev/sd*?

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Hugo Reyes , 01-Дек-11 18:02 
http://www.opennet.me/base/sys/recover_file10.txt.html

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено CrustY , 01-Дек-11 18:27 
testdisk погугли )

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено igron , 01-Дек-11 19:51 
foremost

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Вова , 02-Дек-11 07:55 
спасибо всем.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 14:29 
> Не хочу гуглить, вкратце просветите, какими инструментами и для каких фс (помимо
> фат)) можно восстанавливать файлы после удаления. Или всё-таки по старинке -
> grep xxx /dev/sd*?

photorec, ext3grep.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 18:51 
Да никто там особо не заботился о том чтобы не взломали , выполнили свою задачу и в мусор.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 19:15 
Автору конечно спасибо за труды, но непонятно, к чему повествование. В 2009 какие-то злоумышленники взломали какие-то сервера под Centos, обновив на них попутно версию OpenSSH. Из этого можно сделать какие-то выводы?

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 19:35 
> Автору конечно спасибо за труды, но непонятно, к чему повествование. В 2009
> какие-то злоумышленники взломали какие-то сервера под Centos, обновив на них попутно
> версию OpenSSH. Из этого можно сделать какие-то выводы?

Что с 2009 года в CentOS есть незакрытая дыра, дающая удалённо root ?


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 14:32 
> Что с 2009 года в CentOS есть незакрытая дыра, дающая удалённо root ?

Если с 2009 года не обновляться, как это любят делать ценители центоса - запросто.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 20:04 
В последнем CentOS 5.x пакет openssh-4.3p2-72.el5_7.5.i386.rpm

В 4.3p2-10 была исправлена ошибка в GSSAPI. В заметке лаборатории касперского нет упоминания того, какая версия была до взлома. Очень похоже, что ниже 4.3p2-10 и сломали именно через эту уязвимость, хотя и утверждалось, что она не эксплуатируема.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено AdVv , 01-Дек-11 20:45 
Не понятно из новости, что за хосты были взломаны и как они были связаны с Duqu. Кто-то перехватил управление ботнетом ? Или управление ботнетом изначально осуществлялось с этих левых хостов ? Как-то недальновидно, потерял хост, потерял управление всем ботнетом ?

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено AdVv , 01-Дек-11 20:48 
При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера" Uplink ;)

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 16:51 
> При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера"
> Uplink ;)

Это что-то типа fate?


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено AdVv , 28-Дек-11 11:29 
>> При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера"
>> Uplink ;)
> Это что-то типа fate?

http://ru.wikipedia.org/wiki/Uplink_%28%D0%B8...


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 21:23 
>пользователя root, которому был разрешён вход по SSH

Что за дурь?!

По моему все до единого сисадмины знают, что такой доступ верх безалаберности. Все книжки и руководства исходят криком: "Не делайте это!"
Ан нет - для нас закон не писан и мы САМЫЕ умные.(((
...Что же - кто-то оказался в итоге умнее.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 22:34 
>>пользователя root, которому был разрешён вход по SSH
> Что за дурь?!
> По моему все до единого сисадмины знают, что такой доступ верх безалаберности.

Дефолтовые настройки меняет мизерный процент сисадминов. Даже если в системе вход под root запрещён многие (если не большинство) хостинг-компании для арендованных серверов после заливки системы дают клиенту root-овый пароль и меняют sshd_config.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено anonymous , 02-Дек-11 01:48 
>>пользователя root, которому был разрешён вход по SSH
> Что за дурь?!
> По моему все до единого сисадмины знают, что такой доступ верх безалаберности.
> Все книжки и руководства исходят криком: "Не делайте это!"
> Ан нет - для нас закон не писан и мы САМЫЕ умные.(((
> ...Что же - кто-то оказался в итоге умнее.

Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем не проверяемые кроме автора.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 01:59 
>Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем не проверяемые кроме автора.

Вы хотите сказать что отключить вход по логину root - это дурь (делать наоборот) ? Вы может мне еще скажите что логин по ssh разрешенный только для пользователя в виде 8x1UsNxKtW8B и пароль не менее простой тоже маразм? А как насчет knockd?


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено qpq , 02-Дек-11 02:35 
на каком сервере? IP у вас тоже генератором паролей выбирается? :)

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 03-Дек-11 05:48 
>на каком сервере?

На моем.

>IP у вас тоже генератором паролей выбирается? :)

Конечно нет. Что за бред пишете и, главное, зачем?


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено qpq , 09-Дек-11 12:20 
это был сарказм как бы
просто, пытался понять, зачем генерить случайное имя для пользователя? если параноить, то можно добавить эту часть к паролю, а имя оставить обычным удобочитаемым

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 05:48 
>Вы хотите сказать что отключить вход по логину root - это дурь (делать наоборот) ?

Да, дурь. Нормальный пароль не подберут в обозримом будущем. Сам пароль передается не открытым текстом. Если все же увели с юзерского компьютера root пароль от удаленной системы, то уведут и ваши "8x1UsNxKtW8B" и такая защита будет бесполезна. Опять же, если есть удаленная уязвимость, то запрет на root-логин едва ли поможет. Ко всему прочему, ходят по ключам, как правило, а не по паролям.
Объясните, мне, глупому, чем поможет запрет логина от рута?


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено xdsl , 02-Дек-11 06:53 
>Объясните, мне, глупому, чем поможет запрет логина от рута?

Тем, что
1)крякеру надо сначала угадать юзеровский логин для удаленного входа, который на каждой системе разный, в отличие от root;
2)получение логина и пароля для удаленного входа - это полдела, надо еще, получив доступ к серверу, провести кучу манипуляций для получения рутового доступа. За это время в системе остается куча следов.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено SubGun , 02-Дек-11 10:19 
А вы сидите и tail'ом логи смотрите 24х7

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 12:03 
> За это время в системе остается куча следов.

А откуда следует что их останется больше чем при получении рута? Кроме того, ну вот получили вы рут. А оказалось что это пустой контейнер без нифига. Там даже нагадить толком не выйдет. И чего? :)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 14:34 
> Кроме того, ну вот получили вы рут. А оказалось что это пустой контейнер без нифига.

Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с рутовыми правами.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 16:52 
> Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с
> рутовыми правами.

А в случае лени и паранойи надо виртуалки юзать. Из них вы уже тоже умеете вылезать? :)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 18:33 
> А в случае лени и паранойи надо виртуалки юзать. Из них вы
> уже тоже умеете вылезать? :)

Такой шанс бывает редко - для xen или vmware такие дыры находят раз в несколько лет.
В отличие от контейнеров, которые вскрываются большинством ядерных дырок.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 03-Дек-11 05:45 
>Ммм, контейнер... Если ядро достаточно старое, есть шансы вылезти на хост с рутовыми правами.

Классная пьянка. Мало что мой логин в виде "8x1UsNxKtW8B" увели и сообразили что это логин, так уже и контейнер вот-вот сломают. Что же мне делать?


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 17:38 
> 1)крякеру надо сначала угадать юзеровский логин для удаленного входа, который на каждой
> системе разный, в отличие от root;

аксиома а:
не зависимо от того, включен или выключен логин от рута, ssh ведет себя одинаково, а следовательно злоумышленник не знает включен или выключен логин от рута.

аксиома б:
при грамотном пароле, простой перебор будет длиться годами.

аксиома в:
при настройке какой-нибудь файлтубан, атакующий замучается менять ип-адреса, а разрешение логина один раз в три секунды только подтвердит аксиому б.

> 2)получение логина и пароля для удаленного входа - это полдела, надо еще,
> получив доступ к серверу, провести кучу манипуляций для получения рутового доступа.
> За это время в системе остается куча следов.

Если у вас увели логин и пароль от удаленного хоста, то уведут и рут пароль, если он у вас есть, конечно.

Защищать нужно данные там, где они наиболее уязвимы, и как показывает практика, это юзерско-админские компы.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 03-Дек-11 12:55 
Бред какой-то.

> юзеровский логин для удаленного входа, который на каждой системе разный, в отличие от root;

Не понял, при чем тут разные системы, и еще у вас что, на разных машинах одинаковый рут-пароль?

> 2)получение логина и пароля для удаленного входа - это полдела, надо еще, получив доступ к серверу, провести кучу манипуляций для получения рутового доступа. За это время в системе остается куча следов.

Чтобы это работало, надо запоминать рутовый и юзерский пароль в разных головах, или (в случае цифрового сейфа/пасс-менеджера) на физически разных компах, находящихся под ответственностью разных людей.

Иначе, утащив юзерский пароль, за компанию утащат и рутовый, и это не будет иметь никакого смысла. И это практически неюзабельно для тех серверов, у которых 99% обслуживания делается из-под рута (т.е. большинство).


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 14:25 
> Да, дурь. Нормальный пароль не подберут в обозримом будущем.

Ага, ага.

>This is more of an indication of a password bruteforcing rather a 0-day. So the most likely answer is that the root password was bruteforced.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 16:58 
> likely answer is that the root password was bruteforced.

Вообще, хреновый какой-то пароль если за 8 попыток подбирается. Толи вместо админа полный ламерюга, толи что-то тут не чисто.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 18:34 
> Толи вместо админа полный ламерюга

Разумеется, рутовый логин же был разрешен.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 14:23 
> Дурь это делать наоборот - вместо этого самому городить самодельные костыли, никем
> не проверяемые кроме автора.

Вы действительно так считаете? Тогда Duqu идет к вам!


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено kshetragia , 02-Дек-11 07:03 
Может быть и верх, но по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса. По крайней мере это справедливо для СentOS, Rhel, Debian. Чего не скажешь о фрюше.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Mikula , 02-Дек-11 10:03 
>по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса.

Нормальные админы эту возможность убирают сразу после создания пользователя, который может получить рута.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено reaper , 02-Дек-11 11:48 
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может
> получить рута.

зачем? не понимаю, выключить авторизацию по паролю и все


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 16:54 
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может
> получить рута.

А какая глобальная разница? Нет, конечно от пароля 777 на руте это спасет, но если пароль нормальный - его и за 100 лет не подберут.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Кирилл , 02-Дек-11 19:37 
Это не так. Как раз доступ руту надо явно разрешать. Что, видимо, и было сделано.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено kshetragia , 05-Дек-11 09:46 
>>по умолчанию ремотный доступ рутом разрешен во всех дистрибутивах линукса.
> Нормальные админы эту возможность убирают сразу после создания пользователя, который может
> получить рута.

Нормальные оси имеют это из коробки.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Frank , 01-Дек-11 22:05 
"Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома."

А в статье же говорится совсем по-другому -
"Interestingly, on Linux it is sometimes possible to recover deleted files; however, in this case we couldn’t find anything. No matter how hard we searched, the sectors where the files should have been located were empty and full of zeroes."


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Frank , 01-Дек-11 22:08 
И тут же после этого
"By bruteforce scanning the slack (unused) space in the ‘/’ partition, we were able to recover parts of the ‘sshd.log’ file. This was kind of unexpected and it is an excellent lesson about Linux and the ext3 file system internals; deleting a file doesn’t mean there are no traces or parts, sometimes from the past."

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Евгений , 01-Дек-11 23:06 
> И тут же после этого
> "By bruteforce scanning the slack (unused) space in the ‘/’ partition, we
> were able to recover parts of the ‘sshd.log’ file. This was
> kind of unexpected and it is an excellent lesson about Linux
> and the ext3 file system internals; deleting a file doesn’t mean
> there are no traces or parts, sometimes from the past."

Да уж касперцы снова "открыли Америку", скорее "нехорошие" ребята пользовались rm, но есть еще и утилита shred, может они о ней не ведали, может им было все-равно, ведь кто-то должен кормить/учить касперовцев :)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Ytch , 02-Дек-11 01:15 
> Да уж касперцы снова "открыли Америку", скорее "нехорошие" ребята пользовались rm, но есть еще и утилита shred, может они о ней не ведали

Ну как бы сами же "касперцы" и намекают на это когда анализируют .bash_history. Тот факт, что проникнув на чужую машину "нехорошие" ребята (если это, конечно, их bash_history) вызывают man и команды с ключом --help (вместо того чтобы сделать это хотя бы у себя локально, в крайнем случае), а также ставят pico и/или nano, чтобы поправить несколько символов в конфиге (там vi что ли нет?) не говорит ни о высоком уровне грамотности, ни об осторожности (хотя может просто излишне самоуверенные).


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 22:36 
Не сработал простой метод, попробовали другой и нашли данные, что не так ?

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено chelovek , 01-Дек-11 22:42 
Вот что то я не понял. Какой смысл в этой новости? Больше на какие то сплетни походит во дворах, бабушек. "Вот воры залезли, через дверь... И как они её открыли. И не выломали,.... И почему они потом закрыли дверь, а не оставил открытой." Да захотели и обновили блин! ))) Может им воспитание не позволило работать на старом ПО.

"и перед первым удачным входом был восьмиминутный перерыв"
Омг... Пописять/покурить/пофапать ходил хакер. ))))) Что в этом такого таинственного!.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 22:54 
> "и перед первым удачным входом был восьмиминутный перерыв"
> Омг... Пописять/покурить/пофапать ходил хакер. ))))) Что в этом такого таинственного!.

Ага подбирал пароли не скриптом, а вручную, пописал и сразу правильный пароль подобрал.

Там слишком много совпадений и странных вещей. Я склоняюсь к тому, что в OpenSSH 4.3 из CentOS криво пропатчили дыру в GSSAPI (http://secunia.com/advisories/22173/). И вообще с этой дырой в GSSAPI мутная история, вначале писали что remote root, потом DoS, потом что не эксплуатируется, а потом замяли как-то, но исправления выпустили.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено chelovek , 01-Дек-11 22:57 
Ну а почему нет? Вот у меня бывает умные идеи или в толчке или на курилке приходят весьма неожиданно!.)))))))

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено pavlinux , 01-Дек-11 23:00 
> Омг... Пописять/покурить/пофапать ходил хакер.

Это период цикла работы брутфорс скрипта.

Вот к нам тоже, каждый день, аккурат с 13:00 до 14:00,
примерно раз в 7 минут по 4 подхода долбят. :)
Я их уже логи SSH как телевизор смотрю... Всё думаю,
мож чего нового придумают, ан-н-н нет:

root, RooT,rO0t, r00t, ruut, ryyt, admin, administator,
god, g0d, godroot, rootgod, rootgood, rootgood, jedy,
veider, matrix, neo, trinity, ....


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 23:10 
> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
> раз в 7 минут по 4 подхода долбит. :)

А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено pavlinux , 01-Дек-11 23:12 
>> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
>> раз в 7 минут по 4 подхода долбит. :)
> А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)

Ну вообще-то авторизация только по ключам и рута низя.
Да и вообще, уже перенёс на другой порт...
Cкучно стало, в логах только записи крона... :(

Но фигня, ещё есть web сервер!!! Там постоянно бутфорсят
на наличие PHPMyAdmin и стандартные страницы авторизации
и пароли от полулярных SMS.

---

61.250.80.133 - - [27/Nov/2011:12:02:07 +0400] "GET /user/soapCaller.bs HTTP/1.1" 301 486 "-" "Morfeus Fucking Scanner"

95.110.225.52 - - [27/Nov/2011:22:28:28 +0400] "GET /w00tw00t.at.ISC.SANS.test0:) HTTP/1.1" 400 415 "-" "-"

31.44.184.245 - - [27/Nov/2011:23:50:31 +0400] "POST http://myinfo.any-request-allowed.com/?strGet=get3294 HTTP/1.1" 301 480 "-" "-"

180.210.203.86 - - [01/Dec/2011:21:24:59 +0400] "GET /phpMyAdmin-2.11.2.2/scripts/setup.php HTTP/1.1" 301 518 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:57 +0400] "GET /websql/scripts/setup.php HTTP/1.1" 301 497 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:53 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:53 +0400] "GET /web/phpMyAdmin/scripts/setup.php HTTP/1.1" 301 509 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:54 +0400] "GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1" 301 512 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:55 +0400] "GET /web/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:56 +0400] "GET /php-my-admin/scripts/setup.php HTTP/1.1" 301 505 "-" "ZmEu"
180.210.203.86 - - [01/Dec/2011:21:23:48 +0400] "GET /typo3/phpmyadmin/scripts/setup.php HTTP/1.1" 301 512 "-" "ZmEu"
200.98.197.72 - - [01/Dec/2011:16:19:43 +0400] "POST /_vti_bin/_vti_aut/author.dll HTTP/1.1" 301 525 "-" "core-project/1.0"
61.183.23.146 - - [01/Dec/2011:20:04:49 +0400] "HEAD /manager/html HTTP/1.0" 301 225 "-" "-"
180.210.203.86 - - [01/Dec/2011:21:23:41 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 527 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:31 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 527 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:31 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 503 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:32 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 502 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:32 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:33 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 301 498 "-" "ZmEu"
220.226.103.254 - - [01/Dec/2011:02:25:33 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 301 499 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:39 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 301 527 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:40 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 301 503 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:40 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 301 502 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:41 +0400] "GET /pma/scripts/setup.php HTTP/1.1" 301 491 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:42 +0400] "GET /myadmin/scripts/setup.php HTTP/1.1" 301 498 "-" "ZmEu"
211.255.24.167 - - [01/Dec/2011:01:35:42 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 301 499 "-" "ZmEu"

DLL-ку какую-то искали

200.98.197.72 - - [01/Dec/2011:16:19:43 +0400] "POST /_vti_bin/_vti_aut/author.dll HTTP/1.1" 301 525 "-" "core-project/1.0"


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Ytch , 02-Дек-11 00:25 
Такая же фигня. Я вот думаю создать, что ли, пару из этих файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний вид оригинала (с намеком, например, на возможность root доступа к базам - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban как-то не так смешно.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено pavlinux , 02-Дек-11 00:49 
> Такая же фигня. Я вот думаю создать, что ли, пару из этих
> файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний
> вид оригинала (с намеком, например, на возможность root доступа к базам
> - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть
> особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный
> мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban
> как-то не так смешно.

180.0.0.0/2 можно смело банить :)
13x.0.0.0, 6x.0.0.0 , 3x.0.0.0  - самые ботнетцкие адреса.

Видимо в Южной Америке и Азии самые ацтойные админы. :)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено un4me , 06-Дек-11 11:46 
> 180.0.0.0/2 можно смело банить :)
> 13x.0.0.0, 6x.0.0.0 , 3x.0.0.0  - самые ботнетцкие адреса.

Тогда уж советую:

-A INPUT -m geoip --source-country A1,AD,AE,AF,AG,AI,AO,AP,AQ,AW,AX  -j DROP
-A INPUT -m geoip --source-country VN,MX,IN,TH,EG,PH,MK,KR,PK,TR,TW  -j DROP
-A INPUT -m geoip --source-country CN  -j DROP
-A INPUT -p tcp -m tcp --dport 137 -j CHAOS --tarpit
-A INPUT -p tcp -m tcp --dport 138 -j CHAOS --tarpit
-A INPUT -p tcp -m tcp --dport 139 -j CHAOS --tarpit
-A INPUT -p tcp -m tcp --dport 445 -j CHAOS --tarpit
-A INPUT -m psd --psd-weight-threshold 21 --psd-delay-threshold 300 --psd-lo-ports-weight 3 --psd-hi-ports-weight 1  -j DROP


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено ФФ , 02-Дек-11 10:11 
зачОтно :)

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 14:37 
> Такая же фигня. Я вот думаю создать, что ли, пару из этих
> файлов, да написать там чего-нибудь жизнеутверждающего или, может, скопировать внешний
> вид оригинала (с намеком, например, на возможность root доступа к базам
> - пущай дальше стараются)... Можно, конечно, и базу какую-нибудь фейковую подсунуть
> особо старательным с какой-нибудь таблицей типа 'user', а в ней рандомный
> мусор - пусть дальше брутфорсят. А то с каким-нибудь аналогом fail2ban
> как-то не так смешно.

Эта идея существует уже давно и называется honeypot. Настоящие исследователи в области безопасности (а не такие, как у касперского) создают целые сети таких хостов и изучают по ним поведение хацкеров.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено stamnik , 02-Дек-11 00:58 
>>> Вот к нам тоже, примерно каждый день, аккурат с 13:00 до 14:00,
>>> раз в 7 минут по 4 подхода долбит. :)
>> А потом скрипт ума набирается и с первой попытки сразу рутом входит ? :-)
> Ну вообще-то авторизация только по ключам и рута низя.
> Да и вообще, уже перенёс на другой порт...
> Cкучно стало, в логах только записи крона... :(
> Но фигня, ещё есть web сервер!!! Там постоянно бутфорсят
> на наличие PHPMyAdmin и стандартные страницы авторизации
> и пароли от полулярных SMS.

Если хост не сильно критичный к нагрузкам то весьма забавно на некоторое время включить вот это http://www.opennet.me/docs/RUS/iptables/#MIRRORTARGET
Только очень осторожно. Ибо проц начинает жрать неимоверно. Да и трафик подъедает тоже не слабо.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 14:40 
> Если хост не сильно критичный к нагрузкам то весьма забавно на некоторое
> время включить вот это http://www.opennet.me/docs/RUS/iptables/#MIRRORTARGET
> Только очень осторожно. Ибо проц начинает жрать неимоверно. Да и трафик подъедает
> тоже не слабо.

По-моему, эту штуку удалили из ядра лет пять назад, как минимум.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Ytch , 02-Дек-11 01:49 
>"Против данной гипотезы указывает то, что пароль был подобран после относительно небольшого числа попыток и перед первым удачным входом был восьмиминутный перерыв"

Оригинал гласит (да и по логам в оригинале видно):
>Note how the "root" user tries to login at 15:21:11, fails a couple of times and then 8 minutes and 42 seconds later the login succeeds.

Не было никакого перерыва. Вход был осуществлен через 8 минут 42 секунды после начала подбора. И это, по их версии, как раз лишний раз подтверждает теорию подбора пароля:

>This is more of an indication of a password bruteforcing rather a 0-day. So the most likely answer is that the root password was bruteforced.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 02-Дек-11 10:33 
> Не было никакого перерыва. Вход был осуществлен через 8 минут 42 секунды
> после начала подбора. И это, по их версии, как раз лишний
> раз подтверждает теорию подбора пароля:

Перерыв был, но не  8, а 3 минуты: по скриншоты лога отлично видно, что последняя неудачная попытка была 15:27:12, а затем вход в 15:29:53



"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 22:59 
Злоумышленники обновили OpenSSH до 5 версии, это самое интересное. Это наверное, скрытый способ доказательства важности своевременного обновления. Что же касается CentOS то лично я, не считаю ее операционной системой вообще. Не понимаю, почему все за нее так  держаться, особенно если учесть периодичность выхода обновлений.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено anonymous , 02-Дек-11 01:56 
> Злоумышленники обновили OpenSSH до 5 версии, это самое интересное. Это наверное, скрытый
> способ доказательства важности своевременного обновления. Что же касается CentOS то лично
> я, не считаю ее операционной системой вообще. Не понимаю, почему все
> за нее так  держаться, особенно если учесть периодичность выхода обновлений.

Долгое время это была RedHat для бедных, все работало как часы. Но со времен когда Oracle выпендринулся со своим клоном и руководство RedHat решило начать сопротивление все покатилось под откос. Вероятно, прекратили все негласные контакты с Centos, наряду с сливанием индивидуальных патчей ядра и прочими пакостями.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 23:14 
Всё просто. Алгоритм взлома:

1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH (< 4.3p2-10) под CentOS.
2. При обнаружении используется публично не засвеченный эксплоит.
3. Обновляем openssh, чтобы другие скрипты, работающие на других узлах ботнета, не сломали ещё раз.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено pavlinux , 01-Дек-11 23:28 
> Всё просто. Алгоритм взлома:
> 1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH
> (< 4.3p2-10) под CentOS.
> 2. При обнаружении используется публично не засвеченный эксплоит.

Если читал внимательно, то рута получили обычным бутфорсом.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 01-Дек-11 23:37 
>> Всё просто. Алгоритм взлома:
>> 1. Используется скрипт, который ищет в сети серверы с необновлённым пакетом OpenSSH
>> (< 4.3p2-10) под CentOS.
>> 2. При обнаружении используется публично не засвеченный эксплоит.
> Если читал внимательно, то рута получили обычным бутфорсом.

Это вам так кажется :-) Вначале разведку провели, а уже потом тяжелая артиллерия в бой вступила.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено pavlinux , 02-Дек-11 00:21 
Мне не кажется, читаю то, что пишут.

"В качестве наиболее вероятного способа проникновения в систему рассматривается результат
"атаки по подбору пароля для пользователя root, которому был разрешён вход по SSH."



"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Xing , 02-Дек-11 08:48 
перебор за 8 минут???
у меня что-то на это очень много времени уходило, скорее всего была использована уязвимость, возможно перехват, подбор из того что перехватили, перебор для отвода глаз

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 26-Дек-11 17:47 
У меня обычно стоит fail2ban который при 3х неудачных попыток подбора добавляет правила дропа в фаервол на 30 минут, при таких условиях перебор пароля бы занял минимум час. Это не великея хакеро, на лицо обычная халатность

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено adolfus , 02-Дек-11 01:02 
Дйля беспарольного доступа ssh использует, в основном, две крипто системы -- rsa и dsa. Эти криптосистемы различаются как кислое и мягкое. Подозреваю, что произошел существенный прорыв либо в разложении двусоставного числа на множители (rsa) либо в отношении вычисления дискретного логарифма (dsa). По умолчанию в 5-й версии используется rsa. Если в 4-й что-то другое, это означает rsa под контролем. В смысле, что реально современные математики совершили подвиг.  Если же в 4-й тоже использовалась rsa, можно подозревать, что математика пока топчется на месте, но в говне pkcs11 -- ВСЕ КЛЮЧИ, ЧТО ВЫ ГЕНЕРИТЕ, СЛИВАЮТСЯ В ФБР. Итак, если в 4-м ssh криптосистема по-умолчанию не есть rsa, это значит прорыв в математике, сравнимый с высадкой на Марс. Если же там таки rsa, это всего лишь спецоперация подлога протокола.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено PereresusNeVlezaetBuggy , 02-Дек-11 01:32 
ИМХО, хакеры не хотели, чтобы кто-то "переимел" систему за счёт какой-то незакрытой уязвимости, и честно обновляли OpenSSH. Ну ещё и щелчок по носу админам неплохой, а куда ж взломщикам без этого?

Но это лишь ИМХО. :)

BTW, насчёт 5.8p1 => p2, в release notes есть такое:

* Fix compilation failure when enabling SELinux support.

Это укладывается в теорию выше: возможно, до этого openssh скомпилировали без поддержки SELinux, а после обновления до 5.8p2 смогли включить обратно. Так как уровень взломщиков был невысокий, то нет ничего удивительного в том, что они не стали сами заморачиваться с исправлением проблем компиляции.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено StaS , 02-Дек-11 13:33 
А банальный firewall  когда успели отменить ?
и не тебе  брутфорс, и не тебе не известные эксплоиты для ssh ))


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено PereresusNeVlezaetBuggy , 02-Дек-11 14:46 
> А банальный firewall  когда успели отменить ?
>  и не тебе  брутфорс, и не тебе не известные эксплоиты
> для ssh ))

Фаервол не спасёт от медленного перебора. Судя по времени подбора, там банально был простой пароль, типа qwerty123. Так что админы сами себе злобные буратины, на что и тухлая версия OpenSSH как бы намекает.

(ну да, да, некоторые ещё port knocking используют - пока однажды не столкнутся с ситуацией, что из-за него не получается пробиться легитимному юзеру)


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Кирилл , 02-Дек-11 14:59 
> А банальный firewall  когда успели отменить ?
>  и не тебе  брутфорс, и не тебе не известные эксплоиты
> для ssh ))

Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя, который ввёл штатный пароль рута?


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено StaS , 02-Дек-11 19:57 
>> А банальный firewall  когда успели отменить ?
>>  и не тебе  брутфорс, и не тебе не известные эксплоиты
>> для ssh ))
> Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько
> банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя,
> который ввёл штатный пароль рута?

на столько банальный что не светит на весь мир ssh порт, что сводит к минимуму бурутфорс и использование эксплоитов.  


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено PereresusNeVlezaetBuggy , 02-Дек-11 20:01 
>>> А банальный firewall  когда успели отменить ?
>>>  и не тебе  брутфорс, и не тебе не известные эксплоиты
>>> для ssh ))
>> Вы о чём, уважаемый? И что вы подразумеваете под "банальный firewall"? Настолько
>> банальный, что способен прочитать нехорошие мысли в голове опознаваемого пользователя,
>> который ввёл штатный пароль рута?
> на столько банальный что не светит на весь мир ssh порт, что
> сводит к минимуму бурутфорс и использование эксплоитов.

А вот это в 99% случаев - глупость. Ибо лишает самого админа возможности оперативно что-то починить. SSH надо прикрывать фаером, но не полностью, а только ограничивать количество TCP-подключений с одного IP-адреса в единицу времени.


"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено vi , 03-Дек-11 14:40 
Не, надо так:
После того как стало понятно, что это попытки взлома, перенаправлять весь этот трафик на сервера отдела К9, пусть работают (шутка, у них и так работы много!).
Перенаправлять трафик на какой нибудь HoneyPot исследовательский, пусть ребята учатся друг у друга (если это конечно не ученики по заданию учителя тренируются ;)
Главное самому не "спалится", когда будешь заходить "поадминить"!

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено wildhawk , 04-Дек-11 13:28 
Этот прорыв в математике совершили еще до 21 века советские ученые. Кроме того, не советую использовать встроенные средства аппаратной криптографии, которые доступны на ителловских платформах.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено anonymous , 05-Дек-11 12:50 
дайте ссылку пожалуйста...

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 03-Дек-11 16:59 
Там в .bash_history прикольный команды, особенно улыбнуло iptables -F, а если политика DROP на INPUT ) Видно какеры какие-то.

"Разбор последствий взлома Linux-хостов выявил странную актив..."
Отправлено Аноним , 26-Дек-11 17:39 
Брутфорс мозга верить в непроверенные гипотезы каспера(призрака шалунишку), который удалил осла в 2009 году, за что его все любят и ненавидят, могли бы задать опросник сообществу центосников с коментами аля аффтар жжёш!