OpenForum RSS: Разбор последствий взлома Linux-хостов выявил странную актив... https://www.opennet.ru/openforum/vsluhforumID3/81567.html В блоге Лаборатории Касперского появилась заметка (http://www.securelist.com/en/blog/625/The_Mystery_of_Duqu_Part_Six_The_Command_and_Control_servers) с разбором последствий взлома двух Linux-хостов, используемых злоумышленниками для управления Windows-машинами, пораженными троянским ПО Duqu (http://en.wikipedia.org/wiki/Duqu). Хосты были представлены для анализа после того, как злоумышленники пытаясь замести следы, удалили содержимое директорий "/var/log" и "/root" с серверов. Так как данные были очищены через простое удаление файлов без обнуления областей диска, проанализировав остаточные данные на дисковых разделах удалось достаточно полно восстановить активность после взлома. <br><br><br>Судя по всему управление машинами было получено в результате подбора пароля для пользователя root, которому был разрешён вход по SSH. Об этом свидетельствует длительная череда неудачных попыток входа, окончившихся удачным проникновением в систему. Из всей активности злоумышленников вызывает вопрос операци...<br><br>URL: http://www.sec Разбор последствий взлома Linux-хостов выявил странную актив... (AdVv) https://www.opennet.ru/openforum/vsluhforumID3/81567.html#169 Wed, 28 Dec 2011 07:29:14 GMT &gt;&gt; При чтении оригинальной заметки с картинками вспомнился старый добрый "симулятор хакера" <br>&gt;&gt; Uplink ;) <br>&gt; Это что-то типа fate?<br><br>http://ru.wikipedia.org/wiki/Uplink_%28%D0%B8%D0%B3%D1%80%D0%B0%29<br> Разбор последствий взлома Linux-хостов выявил странную актив... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/81567.html#168 Mon, 26 Dec 2011 13:47:18 GMT У меня обычно стоит fail2ban который при 3х неудачных попыток подбора добавляет правила дропа в фаервол на 30 минут, при таких условиях перебор пароля бы занял минимум час. Это не великея хакеро, на лицо обычная халатность<br> Разбор последствий взлома Linux-хостов выявил странную актив... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/81567.html#167 Mon, 26 Dec 2011 13:39:19 GMT Брутфорс мозга верить в непроверенные гипотезы каспера(призрака шалунишку), который удалил осла в 2009 году, за что его все любят и ненавидят, могли бы задать опросник сообществу центосников с коментами аля аффтар жжёш!<br> Разбор последствий взлома Linux-хостов выявил странную актив... (аноним1) https://www.opennet.ru/openforum/vsluhforumID3/81567.html#166 Fri, 09 Dec 2011 18:44:08 GMT &gt; Journal там пока что не внедрили, так что без шансов.<br><br>что за Journal, простите??<br><br><br> Разбор последствий взлома Linux-хостов выявил странную актив... (аноним1) https://www.opennet.ru/openforum/vsluhforumID3/81567.html#165 Fri, 09 Dec 2011 18:40:35 GMT сколько нарушителей и за сколько лет поймали, если не секрет?<br> Разбор последствий взлома Linux-хостов выявил странную актив... (PereresusNeVlezaetBuggy) https://www.opennet.ru/openforum/vsluhforumID3/81567.html#164 Fri, 09 Dec 2011 12:05:43 GMT &gt;&gt; Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор, <br>&gt; Так надо сделать чтобы не пофиг было :). Кидаем еще 100500 записей <br>&gt; в таком же духе. Админ худеет от необходимости анализировать 100500 инцедентов <br>&gt; с разных айпи, отличая где там фэйк а где правда :) <br><br>В таком случае фэйковые логи по определению будут идти _после_ "реальных". Этого вполне достаточно, чтобы выделить истинных виновников. Может быть fail только если ротация с удалением старых логов происходит по размеру файлов, но тут уж извините, мешать стрелять себе в ногу никто запретить не может. :)<br> Разбор последствий взлома Linux-хостов выявил странную актив... (PereresusNeVlezaetBuggy) https://www.opennet.ru/openforum/vsluhforumID3/81567.html#163 Fri, 09 Dec 2011 12:03:10 GMT &gt; Ага, только мутная активность в ssh может означать и какой-то race condition <br>&gt; в этом самом ssh. Тогда вполне себе поломают.<br><br>Эта возможность была озвучена, так как она возможно, но не слишком вероятна. А вот на подбор ламерского пароля как раз похоже. :) Хотя, конечно, зарекаться никогда нельзя.<br> Разбор последствий взлома Linux-хостов выявил странную актив... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/81567.html#162 Fri, 09 Dec 2011 08:42:01 GMT &gt; Ещё раз: "... от анализатора логов". Которому пофиг на остальной мусор,<br><br>Так надо сделать чтобы не пофиг было :). Кидаем еще 100500 записей в таком же духе. Админ худеет от необходимости анализировать 100500 инцедентов с разных айпи, отличая где там фэйк а где правда :)<br> Разбор последствий взлома Linux-хостов выявил странную актив... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/81567.html#161 Fri, 09 Dec 2011 08:40:52 GMT &gt; Вот пока он будет пытаться, его и засекут.<br><br>Или не засекут, в зависимости от мастерства хакера и админа.<br><br>&gt; Если за машиной будут следить только полтора землекопа, и те исключительно<br>&gt; вручную (обычно это означает раз в неделю залогиниться и глянуть top),<br>&gt; то понятно, можно много чего пропустить.<br><br>Ну, можно посадить десяток китайцев самолично пакеты раскидывать, но их кормить надо и скорость в PPS'ах так себе :)<br><br>&gt; И я молчу про то, что тот же syslog надо по-хорошему на <br>&gt; другую машину отправлять. Которую... ну, пусть пробуют, ломают, если у неё <br>&gt; кроме приёмника логов и SSH ничего нет. :) <br><br>Ага, только мутная активность в ssh может означать и какой-то race condition в этом самом ssh. Тогда вполне себе поломают. <br>