Włam na Debiana

[Kaka]

Ludzie - pomocy! Ktoś mi się na komputer włamał. Dziś rano.......to było około 7.15 Siedziałem w necie aż tu nagle.....wysunął się cdrom - potem monitor się wyłączył a potem cały komputer się wyłączył. Gdy go ponownie chciałem włączyć po prostu nie szło.....dopiero jak od prądu odłączyłem i znowu włożyłem uruchomił się. Na 100% to był włam bo sam kiedyś tak kumplom robiłem.....Tym razem to mnie spotkało ale nie wiem kto to mi zrobił i jak? Bo chyba wirus to nie był bo jak na linuksa wirus? No chyba, że to mógł być jakiś rootkit ale pewien nie jestem. Przeskanowałem komputer z 3 razy AVG, clamav i chkrootkit ale nic.

Dobra - co mam zrobić żeby jakiś "ślad" znaleźć po tym włamie - może coś się w firewallu zapisało (mam shorewall)? ? Przy moich umiejętnościach w linuksie nie dam rady znaleźć czegoś co po sobie ten koleś zostawił - bo niby jak miał mi się włamać? Jak kumplom ja tak robiłem to tylko za pomocą trojana bo inaczej nie umiałem ale może istnieje jakaś jeszcze inna metoda której nie znam. Co zrobić żeby sprawdzić czy jakiś "syf" mam na komputerze? I jak go usunąć?

Zapewne koleś też miał linuksa bo z poziomu windowsa włamać się na linuksa to PODOBNO Bardzo, Bardzo trudne! ?

Proszę o Pomoc!

[Lorenzo]

Ach jak ja uwielbiam domorosłych chackierów

Przeleć system rkhunter'em  lub chkrootkit'em. Przeskanować clamscanem też nie zaszkodzi i posprawdzaj logi (jesli jakiekolwiek sie uchowały)

P.S. Bezpieczeństwo systemu nie zalezy od systemu tylko od usera.

[Kaka]

2006-09-13 19:00:58 Lorenzo napisał:

> Ach jak ja uwielbiam domorosłych chackierów
 >
 > Przeleć system rkhunter'em  lub chkrootkit'em. Przeskanować clamscanem też nie zaszkodzi i
 > posprawdzaj logi (jesli jakiekolwiek sie uchowały)
 
Sprawdzałem ale nic. Nic nie wykryło. Próbowałem AVG, clamav i chkrootkit - ale nic nie wykryto.

 > P.S. Bezpieczeństwo systemu nie zalezy od systemu tylko od usera.

Rano nigdzie nie wchodziłem ale jakoś wszedłem na stronę:

http://www.gajdaw.pl/bd/14-mi-new/przyklady/3-3-app-log-ver2-offline-mala/host.html

sam nie wiem jak to się stało, że taka strona się otworzyła.

[Kaka]

Uruchomiłem w konsoli: find / -perm -u+s -print
żeby zobaczyć czy nie ma tu nic podejżanego.

Nie podoba mnie się to: /sbin/unix_chkpwd Jest to coś związane z hasłem ale dokłądniej - coś szkodliwego?

Sprawdziłem jeszcze programem  netstat jakie porty mam otwarte itp. I co mi pokazało - około 200 portów otwartych! Jak to możliwe? Mam routera i mam odblokowane TYLKO 22 porty to skąd w  netstat tyle otwartych portów? Może on coś źle pokazuje?

Prosze o Pomoc!

[Kaka]

Teraz przeskanowałem sobie swoje porty programem "nmap" i on mi wykrył około 20 otwartych portów - czyli te które mam "mieć" otwarte.

Więc co w końcu jest nie tak?

A i jeszcze jedno - według Was - tak na oko - jaka jest ŚREDNIA ilość otwartych portów? Chodzi mi o to ile np. Wy macie otwartych portów i ile powinienem mieć ich ja?

Pozdrawiam!

[chmooreck]

2006-09-13 22:30:04 Kaka napisał:

 > Więc co w końcu jest nie tak?

Twoja panika...

 > A i jeszcze jedno - według Was - tak na oko - jaka jest ŚREDNIA ilość otwartych portów? Chodzi
 > mi o to ile np. Wy macie otwartych portów i ile powinienem mieć ich ja?

dokladnie tyle (nie miej, nie wiecej) ile potrzebuja uslugi, ktore chcesz udostepniac na zewnatrz - to jesli chodzi o nasluchujace...

a ilosc otwartych zalezy od tego, z czego aktualnie korzystasz... poczytaj troche na temat protokolu TCP (o UDP tez nie zaszkodzi... ;-) )

[guzzi1]

Masz otwarty port 22 xczyli ssh zapewnie niczym nie zabezpieczony poza standardowm hasłem. Więc włamanie się do twojego kompa to czas około pół minuty. Moim zdaniem nie jest to żadne robactwo tylko ktoś pobawił się chwilkę z tobą.

[sys]

Ktoś mi się na komputer włamał. Dziś rano.......to było około 7.15 Siedziałem w necie aż tu nagle.....wysunął się cdrom - potem monitor się wyłączył a potem cały komputer się wyłączył. Gdy go ponownie chciałem włączyć po prostu nie szło.....dopiero jak od prądu odłączyłem i znowu włożyłem uruchomił się. Na 100% to był włam bo sam kiedyś tak kumplom robiłem.....Tym razem to mnie spotkało ale nie wiem kto to mi zrobił i jak? Bo chyba wirus to nie był bo jak na linuksa wirus? No chyba, że to mógł być jakiś rootkit ale pewien nie jestem.



ojeju jeju biedny userek ...nosił wilk razy kilka...ponieśli i wilka...



2006-09-14 07:47:12 guzzi1 napisał:
>Masz otwarty port 22 xczyli ssh zapewnie niczym nie zabezpieczony poza standardowm hasłem. Więc
 > włamanie się do twojego kompa to czas około pół minuty. Moim zdaniem nie jest to żadne robactwo
 > tylko ktoś pobawił się chwilkę z tobą.
 

albo nie zna kolegów kolegów no ale ktoś to już tu napisał, bezpieczeństwo zależy od usera ;]

[Kaka]

> ojeju jeju biedny userek ...nosił wilk razy kilka...ponieśli i wilka...

ehh.......zawsze ktoś musi coś .......powiedzieć :/


 > >Masz otwarty port 22 xczyli ssh zapewnie niczym nie zabezpieczony poza standardowm hasłem.
 > Więc
 >  > włamanie się do twojego kompa to czas około pół minuty. Moim zdaniem nie jest to żadne
 > robactwo
 >  > tylko ktoś pobawił się chwilkę z tobą.

otwarty port 22? nie mam go otwartego ani nie miałem.......albo - albo "gdzieś" jest on otwarty a ja nawet o tym nie wiem ale forewall i router pokazują, że jest zamknięty.


 > albo nie zna kolegów kolegów no ale ktoś to już tu napisał, bezpieczeństwo zależy od usera
 > ;]
 
No fajnie a czy ja powiedziałem, że na jakieś xxx stronki wchodziłem czy jeszcze coś innego....nigdzie nie wchodze itp. Syfów nie otwieram bo głupi nie jestem!
Napewno nikt z kumpli mi tego nie zrobił bo nie wiedzą nawet co to IP itp. A o hakerstwie wogle nie mają pojęcia......

Mam firewalla i routera....porty mam otwarte tylko te które potrzebuje.

Tylko jak znaleźć w jaki sposób on mi się włamał - w jaki sposób to zrobił.....gdzie powinienem szukać - w jakich plikach itp?

[Lorenzo]

Zajrzysz w końcu do logów czy nie :>

[Kaka]

2006-09-14 15:56:48 Lorenzo napisał:

> Zajrzysz w końcu do logów czy nie :>

W /var/log nic ciekawego nie znalazłem. Nie wiem może pokazać jakiś log?

[Kaka]

ehh......nie ma u mnie katalogu /var/log/secure

Teraz dopiero się skumałem. Bo chyba powinien być ten katalog co nie?

[de_laurent]

> Ludzie - pomocy! Ktoś mi się na komputer włamał. Dziś rano.......to było około 7.15 Siedziałem w
 > necie aż tu nagle.....wysunął się cdrom - potem monitor się wyłączył a potem cały komputer się
 > wyłączył.
Ja tez tak kiedys mialem po wylaczeniu Knoppiksa. Sam wysunal mi plyte, wylaczyl monitor i kompa! Naprawde!


>Tym razem to mnie spotkało ale nie wiem kto to mi zrobił i jak? Bo chyba wirus to
 > nie był bo jak na linuksa wirus? No chyba, że to mógł być jakiś rootkit ale pewien nie jestem.
 > Przeskanowałem komputer z 3 razy AVG, clamav i chkrootkit ale nic.
 >
 > Dobra - co mam zrobić żeby jakiś "ślad" znaleźć po tym włamie - może coś się w
 > firewallu zapisało (mam shorewall)? ? Przy moich umiejętnościach w linuksie nie dam rady
 > znaleźć czegoś co po sobie ten koleś zostawił - bo niby jak miał mi się włamać?

Posluchaj. Jezeli masz firewalla, to rozumiem, ze masz go skonfigurowanego? Jezeli tak, to raczej jest malo prawdopodobne zeby jakis lamer wlamal ci sie na kompa, a prawdziwy haker niemialby zadnego powodu zeby ci sie wlamywac. Cracker natomiast niemialby czego szukac w twoich badziewnych plikach.

Wiec zastanow sie jeszcze raz... Zastanow sie kilka razy zanim napiszesz cos podobnego...
Jezeli natomiast masz firesciane ale tylko zainstalowana a nie skonfigurowana i uruchomiona, jezeli masz uzytkownika admin z haslem admin i wlaczone ssh, itd... To po co tutaj piszesz? Przeinstaluj system i z glowy.


 > Zapewne koleś też miał linuksa bo z poziomu windowsa włamać się na linuksa to PODOBNO Bardzo,
 > Bardzo trudne! ?

Ha, ha, ha, o kurcze, caly post byl smieszny, ale ostatnie zdanie jest po prostu rewelacyjne! Przeczytales to gdzies czy koledzy ci powiedzieli? O, kurde!