analiza powlamaniowa

problem moj polega na tym ze jak edytowalem plik grub.conf to zrobilem literowke i napisalem Linux (hd*0,6) i teraz nie moge wejsc do linuxa bo nie moze zaladowac kernela, jedyne co teraz moge odpalic to windows.
i moje pytanie: czy jest mozliwosc wyedytowania pliku grub.conf nie w linuksie? bo raczej go teraz nie odpale :/, moze jest jakis program pod winde??

[radon]

2006-04-29 11:10:16 pionar napisał:

> problem moj polega na tym ze jak edytowalem plik grub.conf to zrobilem
 > Linux (hd*0,6) i teraz nie moge wejsc do linuxa bo nie moze zaladowac kernela, jedyne co teraz
 > moge odpalic to windows.
 > i moje pytanie: czy jest mozliwosc wyedytowania pliku grub.conf nie w linuksie? bo raczej go
 > teraz nie odpale :/, moze jest jakis program pod winde??


odpal jakis live linux, podmontuj swoja root partycje /, wyedytuj grub.confa, chroot /twoja/root/partycja, uruchom grub-install czy jak to tam bylo - uzywam LILO - i reboot.

[Stilgar]

2006-04-29 11:10:16 pionar napisał:

> problem moj polega na tym ze jak edytowalem plik grub.conf to zrobilem literowke i napisalem
 > Linux (hd*0,6) i teraz nie moge wejsc do linuxa bo nie moze zaladowac kernela, jedyne co teraz
 > moge odpalic to windows.
 > i moje pytanie: czy jest mozliwosc wyedytowania pliku grub.conf nie w linuksie? bo raczej go
 > teraz nie odpale :/, moze jest jakis program pod winde??

mozesz to zrobic bezposrednio z gruba - jak na pozycji odpalajacej linuksa nacisniesz \\'e\\' to bedziesz mogl edytowac ten wpis i poprawic ta literowke, ewentualnie mozesz wcisnac \\'c\\' i wejsc do shella gruba i tam nawet zamontowac partycje z linem i zmienic ten plik :-)

[qlman555]

Witam

Zobaczylem na liscie procesow ze jest jakis proces sshd [unknown]
Nie dalo sie go ubic kill poniewaz wyrzucalo ze taki proces nie istnieje i pojawial sie pod innym PID.

netstat pokazal ustanowione polaczenie na porcie 22.
secure logi nie pokazaly tego logowania
zadne z polecen znanych mi nie pokazal ze w systemie jest zalogowany uzytkownik inny niz ja.
na serwerze brak systemu kontroli integralnosci.

co teraz powinieniem zrobic? poza zainstalowaniem od nowa ssh i innych programow (to jedyne co przychodzi mi do glowy na wypadek zmian w binarkach tych programow)

pozdrawiam
qlman

[piotrek22]

2006-04-28 22:25:54 qlman555 napisał:

> Witam
 >
 > Zobaczylem na liscie procesow ze jest jakis proces sshd [unknown]
 > Nie dalo sie go ubic kill poniewaz wyrzucalo ze taki proces nie istnieje i pojawial sie pod
 > innym PID.
 >
 > netstat pokazal ustanowione polaczenie na porcie 22.
 > secure logi nie pokazaly tego logowania
 > zadne z polecen znanych mi nie pokazal ze w systemie jest zalogowany uzytkownik inny niz ja.
 > na serwerze brak systemu kontroli integralnosci.
 >
 > co teraz powinieniem zrobic? poza zainstalowaniem od nowa ssh i innych programow (to jedyne co
 > przychodzi mi do glowy na wypadek zmian w binarkach tych programow)
 >
 > pozdrawiam
 > qlman
 >

Jest tego sporo, co najmniej kilka dziennie. Chyba modne zrobiły się próby włamań poprzez ssh, co ciekawsze większość z nich, pochodzi z adresów różnych instytucji na całym świecie. Na razie nie zauważyłem szkodliwych skótków więc je ignoruję.

[qlman555]

> Jest tego sporo, co najmniej kilka dziennie. Chyba modne zrobiły się próby włamań poprzez ssh,
 > co ciekawsze większość z nich, pochodzi z adresów różnych instytucji na całym świecie. Na razie
 > nie zauważyłem szkodliwych skótków więc je ignoruję.

zapuszczenie chkrootkit oraz sprawdzenie logow nic nie pokazalo, bylo to wiec chyba proba wlamanie a nie wlamanie, widocznie netstat pokazal polaczenie akurat jak byla proba wpisywania hasla na jakiegos usera www

[piotrek22]

2006-04-28 23:19:29 qlman555 napisał:

>  > Jest tego sporo, co najmniej kilka dziennie. Chyba modne zrobiły się próby włamań poprzez
 > ssh,
 >  > co ciekawsze większość z nich, pochodzi z adresów różnych instytucji na całym świecie. Na
 > razie
 >  > nie zauważyłem szkodliwych skótków więc je ignoruję.
Boże, jak ja napisałem "skutki"!

 >
 > zapuszczenie chkrootkit oraz sprawdzenie logow nic nie pokazalo, bylo to wiec chyba proba
 > wlamanie a nie wlamanie, widocznie netstat pokazal polaczenie akurat jak byla proba wpisywania
 > hasla na jakiegos usera www

Sądząc po komunikatach odmowy połączenia są podejmowane bardzo różne próby, łącznie z chęciami zalogowania się na konto roota.

[Maciek_Rutecki]

2006-04-28 23:30:45 piotrek22 napisał:

> 2006-04-28 23:19:29 qlman555 napisał:
 >
 > >  > Jest tego sporo, co najmniej kilka dziennie. Chyba modne zrobiły się próby włamań
 > poprzez
 >  > ssh,
 >  >  > co ciekawsze większość z nich, pochodzi z adresów różnych instytucji na całym
 > świecie. Na
 >  > razie
 >  >  > nie zauważyłem szkodliwych skótków więc je ignoruję.
 > Boże, jak ja napisałem "skutki"!
 >
 >  >
 >  > zapuszczenie chkrootkit oraz sprawdzenie logow nic nie pokazalo, bylo to wiec chyba
 > proba
 >  > wlamanie a nie wlamanie, widocznie netstat pokazal polaczenie akurat jak byla proba
 > wpisywania
 >  > hasla na jakiegos usera www
 >
 > Sądząc po komunikatach odmowy połączenia są podejmowane bardzo różne próby, łącznie z chęciami
 > zalogowania się na konto roota.


Ostatnio jest z tym plaga, tutaj:

http://unixy.pl/maciek/black_ip/lista.txt

jest lista adresów IP, które mnie i moim znajomym "podpadły". :-) Można je dodać do firewalla:

http://www.unixy.pl/forum/viewtopic.php?t=482&postdays=0&postorder=asc&start=0

--
Maciek