LINUX.ORG.RU
ФорумAdmin

утилиты для поиска руткитов.

 , ,


1

4

Доброго дня.
Ситуация: поставил центос на машину, поменял пароль, оставил только 22-ой порт открытым, выключил и ожидал отправки сервера в датацентр.
Инженеры включили сервер, через несколько дней выключили заявив, что сервер генерирует очень много исходящего трафика.
Вчера попросил их включить на время, что бы я посмотрел в чем дело.
подключение по ssh не было. оно обрывалось при попытке дописать username
покопавшись пришел к выводу что все симптомы очень схожи с этим,но поиск этих файлов не дал результатов.
У меня такое впервые, поэтому вопросы:
гугл выдает много программ для поиска руткитов (я даже не уверен что правильно использую этот термин). Какой посоветуете ?
ок. я после обеда еду устанавливать ОС заного, что мне делать после ?
авторизация по ключам, permitrootlogin no, allow hosts - это все ясно. может есть что-то против такого рода проблем ?
к сожалению обновить ОС (centos 6.5) не получится, нужна именно эта версия.
Жду советов от более опытных коллег.
Благодарю.

★★★★★

Последнее исправление: Klymedy (всего исправлений: 1)

в данный момент нет подключения к серверу, я не могу выложить логи или выполнить какую-то команду.
есть только вчерашняя попытка подключения по ssh:

dada@XX.XX.XX.XX's password: 
debug3: packet_send2: adding 64 (len 50 padlen 14 extra_pad 64)
debug2: we sent a password packet, wait for reply
debug1: Authentication succeeded (password).
Authenticated to XX.XX.XX.XX ([XX.XX.XX.XX]:22).
debug1: channel 0: new [client-session]
debug3: ssh_session2_open: channel_new: 0
debug2: channel 0: send open
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug2: callback start
debug2: fd 3 setting TCP_NODELAY
debug3: packet_set_tos: set IP_TOS 0x10
debug2: client_session2_setup: id 0
debug2: channel 0: request pty-req confirm 1
debug1: Sending environment.
debug3: Ignored env XDG_VTNR
debug3: Ignored env XDG_SESSION_ID
debug3: Ignored env HOSTNAME
debug3: Ignored env GPG_AGENT_INFO
debug3: Ignored env SHELL
debug3: Ignored env TERM
debug3: Ignored env VTE_VERSION
debug3: Ignored env XDG_MENU_PREFIX
debug3: Ignored env HISTSIZE
debug3: Ignored env GJS_DEBUG_OUTPUT
debug3: Ignored env WINDOWID
debug3: Ignored env QTDIR
debug3: Ignored env QTINC
debug3: Ignored env GJS_DEBUG_TOPICS
debug3: Ignored env QT_GRAPHICSSYSTEM_CHECKED
debug3: Ignored env USER
debug3: Ignored env LS_COLORS
debug3: Ignored env SSH_AUTH_SOCK
debug3: Ignored env SESSION_MANAGER
debug3: Ignored env USERNAME
debug3: Ignored env PATH
debug3: Ignored env MAIL
debug3: Ignored env DESKTOP_SESSION
debug3: Ignored env QT_IM_MODULE
debug3: Ignored env PWD
debug1: Sending env XMODIFIERS = @im=ibus
debug2: channel 0: request env confirm 0
debug1: Sending env LANG = en_US.utf8
debug2: channel 0: request env confirm 0
debug3: Ignored env MODULEPATH
debug3: Ignored env GDM_LANG
debug3: Ignored env LOADEDMODULES
debug3: Ignored env GDMSESSION
debug3: Ignored env SSH_ASKPASS
debug3: Ignored env HISTCONTROL
debug3: Ignored env HOME
debug3: Ignored env SHLVL
debug3: Ignored env XDG_SEAT
debug3: Ignored env GNOME_DESKTOP_SESSION_ID
debug3: Ignored env XDG_SESSION_DESKTOP
debug3: Ignored env LOGNAME
debug3: Ignored env QTLIB
debug3: Ignored env DBUS_SESSION_BUS_ADDRESS
debug3: Ignored env MODULESHOME
debug3: Ignored env LESSOPEN
debug3: Ignored env WINDOWPATH
debug3: Ignored env XDG_RUNTIME_DIR
debug3: Ignored env DISPLAY
debug3: Ignored env XDG_CURRENT_DESKTOP
debug3: Ignored env XAUTHORITY
debug3: Ignored env BASH_FUNC_module()
debug3: Ignored env BASH_FUNC_scl()
debug3: Ignored env _
debug2: channel 0: request shell confirm 1
debug2: callback done
debug2: channel 0: open confirm rwindow 0 rmax 32768
debug2: channel_input_status_confirm: type 99 id 0
debug2: PTY allocation request accepted on channel 0
debug2: channel 0: rcvd adjust 2097152
debug2: channel_input_status_confirm: type 99 id 0
debug2: shell request accepted on channel 0
[dada@localhost ~]$ debug1: channel 0: free: client-session, nchannels 1
debug3: channel 0: status: The following connections are open:
  #0 client-session (t4 r0 i0/0 o0/0 fd 4/5 cc -1)

Connection to XX.XX.XX.XX closed by remote host.
Connection to XX.XX.XX.XX closed.
Transferred: sent 3208, received 2456 bytes, in 0.8 seconds
Bytes per second: sent 4223.8, received 3233.7
debug1: Exit status -1

dada ★★★★★
() автор топика
Ответ на: комментарий от erzent

нет конечно.
на сервере ничего не было. я только хотел начать его настраивать.
у меня нет знакомых, кто бы встречался с руткитом лично.
думаю здесь найдутся.

dada ★★★★★
() автор топика
Ответ на: комментарий от anonymous

язык нормальный, медуза программа для брутфорса, и 20 значный пароль подбирается всего на 4-6 минут дольше чем из 6 символов.

erzent ☆☆
()
Ответ на: комментарий от erzent

20 значный пароль подбирается всего на 4-6 минут дольше чем из 6 символов.

Кончай 4.2 писать. Если пароль состоит ТОЛЬКО из цифр - возможно. Если там есть буквы разного регистра и спецсимволы - нет. Просто по своему опыту говорю - нет. И гугл со мной согласен.

Pinkbyte ★★★★★
()
Ответ на: комментарий от erzent

Чтобы время подбора пароля из 20 символов отличалось от времени подбора пароля из 6 символов на 6 минут — скорость перебора должна быть около 7.2*10^6 вариантов в секунду. Немного неубедительно получается.

BOOBLIK ★★★
()
Ответ на: комментарий от erzent

ssh по дефолту не делает секундной задержки?

anonymous
()
Ответ на: комментарий от BOOBLIK

он словарные пароли имеет в виду «fuckfuckfuckfuckfuckfuckfuck» конечно быстро подберется.

anonymous
()
Ответ на: комментарий от erzent

20 значный пароль подбирается всего на 4-6 минут дольше чем из 6 символов.

1fc9ea4a06dd0db357e70d9c966dd9be

подбери, и узнаешь, кто ты такой. Это 8(Восемь) букв в ASCII.

emulek
()
Ответ на: комментарий от BOOBLIK

Плохой, негодный математик. Ответ 9.96*10^36 pass per sec...

BOOBLIK ★★★
()
Ответ на: комментарий от Pinkbyte

это слова господ из фсб, именно по этой причине сейчас во многих учреждениях запретили пароли и только эцп.

erzent ☆☆
()
Ответ на: комментарий от erzent

именно по этой причине сейчас во многих учреждениях запретили пароли и только эцп.

Я тебя огорчу, но причина в другом

Pinkbyte ★★★★★
()
Ответ на: комментарий от erzent

и в чём? нам так говорили.

В том, что за ключ банальнее проще закрепить ответственность, как за физический элемент. Пароль - штука нематериальная, и многие не осознают что его передача - это нарушение политики безопасности. А вот бумажка с печатью или что-то более осязаемое - это уже в головах у людей при государстве создаёт тревожный звоночек вида - «потеряешь - голову снимут».

В данному случае это чистая психология. При неоспоримых технических преимуществах ключей, здесь играет роль именно это.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от erzent

пароль в 20 символов от пароля в 6 символов отличается на 4 минуты дольше в медузе.

Слушай, у меня один вопрос: как ты дожил до 26?

Jefail ★★★★
()
Ответ на: комментарий от Pinkbyte

хз, под линь да гемор, под винду удобнее пароля.

erzent ☆☆
()
Ответ на: комментарий от erzent

Взоржали всем офисом, да.

//мимопроходил

ymn ★★★★★
()
Ответ на: комментарий от erzent

Сам-то пробовал брутить по ssh пароль такой длинны? Или ты про словарь?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin