| Visa föregående ämne :: Visa nästa ämne |
| Startad av: |
Meddelande |
Overlord
Medlem i: 3785 dagar
Från: Linköping
Status: Offline
#581220
|
Skrivet: 2008-05-21 23:38
Ämne: Hackad server
|
  |
|
Märkte nu ikväll att någon har rensat hemsidan..
Finns det någon logg man kan läsa i servern om
det vart något sådant? |
|
|
_________________
Äntligen Sommar. |
| Till toppen på sidan |
|
Walkman
Medlem i: 2599 dagar
Från: Vaxholm (bor i Göteborg)
Status: Offline
#581223
|
|
Skrivet: 2008-05-21 23:45
Ämne:
|
|
|
| Kan kolla i din webbservers loggar efter suspekta förfrågningar. Beror givetvis hur mycket loggning du har igångslaget. En annan bra sak är att kolla igenom aktuell kod efter säkerhetshål. |
|
|
_________________
Koda alltid som om nästa person som till slut ska läsa din kod är en våldsam psykopat och vet var du bor.
Förstå kod innan du använder den. |
| Till toppen på sidan |
|
Overlord
Medlem i: 3785 dagar
Från: Linköping
Status: Offline
#581224
|
|
Skrivet: 2008-05-21 23:59
Ämne:
|
|
|
Kollade i auth.log vet ej men
1: May 18 08:39:01 CDS-DATA CRON[24025]: (pam_unix) session opened for user root by (uid=0) 2: May 18 08:39:01 CDS-DATA CRON[24024]: (pam_unix) session opened for user root by (uid=0) 3: May 18 08:39:01 CDS-DATA CRON[24024]: (pam_unix) session closed for user root 4: May 18 08:39:01 CDS-DATA CRON[24025]: (pam_unix) session closed for user root 5: May 18 09:00:37 CDS-DATA sshd[24041]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.38.10.16 user=root 6: May 18 09:00:39 CDS-DATA sshd[24041]: Failed password for root from 61.38.10.16 port 39680 ssh2 7: May 18 09:00:42 CDS-DATA sshd[24043]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.38.10.16 user=root 8: May 18 09:00:43 CDS-DATA sshd[24043]: Failed password for root from 61.38.10.16 port 40415 ssh2 9: May 18 09:00:46 CDS-DATA sshd[24045]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=61.38.10.16 user=root |
Hur byter jag lösenord i server kör Debian |
|
|
_________________
Äntligen Sommar. |
| Till toppen på sidan |
|
pengi
Medlem i: 2389 dagar
Från: JO57XQ
Status: Offline
#581228
|
|
Skrivet: 2008-05-22 00:18
Ämne:
|
|
|
acccess-loggen för apache kanske?
Hur har han tagit sig in då? för inloggningsförsöken på ssh var ju failure.
att byta lösen gör man med kommandot "passwd", körs som användaren i fråga (root i detta fall)
vad är det för sida du kör? kan det vara baserat på någon injection via sidan? någon känd webapplikation eller egenkodad? |
|
|
_________________
"Question everything. Never trust propaganda. Keep on hacking." - Phrack |
| Till toppen på sidan |
|
Walkman
Medlem i: 2599 dagar
Från: Vaxholm (bor i Göteborg)
Status: Offline
#581231
|
|
Skrivet: 2008-05-22 00:32
Ämne:
|
|
|
Kör du “apache2” på debian utan extrainställningar så ska du leta i “/var/log/apache2”.
PS: Har för mig att varken PAM-modulerna eller OpenSSH loggar lyckade inloggningsförsök som standard. Han kan mycket väl ha lyckats logga in, men då hade fulingen gjort något mer än att bara rensa sidan. |
|
|
_________________
Koda alltid som om nästa person som till slut ska läsa din kod är en våldsam psykopat och vet var du bor.
Förstå kod innan du använder den. |
| Till toppen på sidan |
|
Overlord
Medlem i: 3785 dagar
Från: Linköping
Status: Offline
#581233
|
|
Skrivet: 2008-05-22 00:53
Ämne:
|
|
|
Verkar som han/hon/det va ute efter att rensa alla filer.
hade en hemsida på var/www
och ett flertal på home/
Även rensat bort alla filer i phpmyadmin
Såg även att idioten försökt rensa hela disken på error.log |
|
|
_________________
Äntligen Sommar. |
| Till toppen på sidan |
|
pengi
Medlem i: 2389 dagar
Från: JO57XQ
Status: Offline
#581236
|
|
Skrivet: 2008-05-22 02:05
Ämne:
|
|
|
Jag tycker det låter som en bot som testar lösenord om man har osäkra lösen, sedan kör "rm $( find / -iname '*.php')" eller liknande.
Har du fått in något rootkit?
Jag skulle personligen inte skriva in något lösenord på burken. Stänga av den, boota upp på livecd, kopiera över alla filer man behöver ha kvar från den, blåsa disken och installera om.
Sedan lära sig av detta att alltid ha ordentlgt säkra lösenord och så.
Personligen skulle inte jag lita på en dator i framtiden som har varit hackad. Man vet aldrig vad dom har lyckats trycka in för bakdörrar och rootkits som är dolda. |
|
|
_________________
"Question everything. Never trust propaganda. Keep on hacking." - Phrack |
| Till toppen på sidan |
|
Walkman
Medlem i: 2599 dagar
Från: Vaxholm (bor i Göteborg)
Status: Offline
#581239
|
|
Skrivet: 2008-05-22 02:28
Ämne:
|
|
|
| pengi skrev: |
| Personligen skulle inte jag lita på en dator i framtiden som har varit hackad. Man vet aldrig vad dom har lyckats trycka in för bakdörrar och rootkits som är dolda. |
Word. För att inte tala om att har någon lyckats komma in så är det dags att se över säkerheten från början medans man ändå är igång.
Sedan är jag lite nyfiken på hur/varför du tror det är en random bot, pengi? Jag menar, visst, majoriteten av attacker är bara folk som letar efter sårbara mål på random; men jag har inte sett något i tråden som tyder på varken eller. Att scanna slumpade burkar i mål av att ta bort hela webbrooten (så att admin definitivt kommer märka intrång) låter inte som något man gör. Ett bättre alternativ vore att bryta sig in omärkt och ta kontroll över burken utan att någon vet om det.
PS: Overlord, jag är lite intresserad av att veta vad du hittade i loggarna. |
|
|
_________________
Koda alltid som om nästa person som till slut ska läsa din kod är en våldsam psykopat och vet var du bor.
Förstå kod innan du använder den. |
| Till toppen på sidan |
|
pengi
Medlem i: 2389 dagar
Från: JO57XQ
Status: Offline
#581242
|
|
Skrivet: 2008-05-22 03:38
Ämne:
|
|
|
Jag vet inte vad sidan var just nu iofs, men jag antar att den inte var någon större sida, så att någon person hade tjänat på att lägga massa tid på att hacka den. Antar att den inte hade någon större lösenordslista eller liknande. Troligtvis är det någon som tycker det är kul med att söka och förstöra. Jag är dock med förvånad över att de inte försöker installera rootkit och gömma sig.
Jag är nyfiken på om det är fler rader efter varandra med login failed på root? Det är inte manuella missar några ggr för att sedan skriva rätt av någon användare som har access?
Står något intressant i /root/.bash_history ? (om han har använt terminalen)
vad säger program som t.ex. chkrootkit och rkhunter? |
|
|
_________________
"Question everything. Never trust propaganda. Keep on hacking." - Phrack |
| Till toppen på sidan |
|
Overlord
Medlem i: 3785 dagar
Från: Linköping
Status: Offline
#581247
|
|
|
_________________
Äntligen Sommar. |
| Till toppen på sidan |
|
andersw
Medlem i: 4001 dagar
Från: Jönköping
Status: Offline
#581248
|
|
Skrivet: 2008-05-22 08:09
Ämne:
|
|
|
| Självklart ska du vara upprörd om någon har hackat din server, men kan man förvänta sig annat om du ligger på den kunskapsnivån att du inte ens kan byta lösenord? Har du kört uppdateringar frekvent? Man får väl hoppas du hade backup i alla fall. |
|
|
|
| Till toppen på sidan |
|
EmilV
Medlem i: 3792 dagar
Från: Upplands Väsby
Status: Offline
#581251
|
|
Skrivet: 2008-05-22 08:17
Ämne:
|
|
|
Är du seriös? Lade du in det!?
I så fall är det dags att lära dig vad den koden gör nu. För som Wedge skriver i tråden kommer snutten lära dig att inte klippa och klistra hejvilt.
` (accent, inte apostrof) runt en sträng säger att strängen är ett kommando som ska köras på systemet. Det koden gör är alltså att köra rm -Rf / som om du själv hade kört det i terminalen.
Vad gör då detta kommando? Manualen till rm hittar du här:
http://unixhelp.ed.ac.uk/CGI/man-cgi?rm |
|
|
_________________
Tänk!
EmilVikström.se | GeHjärta.se |
| Till toppen på sidan |
|
Wedge
Medlem i: 3917 dagar
Från: Järfälla
Status: Offline
#581258
|
|
Skrivet: 2008-05-22 09:31
Ämne:
|
|
|
 |
|
|
_________________
Qualitum Webbhotell | Gomoku.se | PHP6.se
Skådebröd är fullt av optisk fiber |
| Till toppen på sidan |
|
pengi
Medlem i: 2389 dagar
Från: JO57XQ
Status: Offline
#581270
|
|
|
_________________
"Question everything. Never trust propaganda. Keep on hacking." - Phrack |
| Till toppen på sidan |
|
Overlord
Medlem i: 3785 dagar
Från: Linköping
Status: Offline
#581290
|
|
Skrivet: 2008-05-22 12:05
Ämne:
|
|
|
| Ja då har jag lärt mej en läxa. Men onödigt gjort av en administratör. |
|
|
_________________
Äntligen Sommar. |
| Till toppen på sidan |
|
|
