LINUX.ORG.RU
ФорумGeneral

Slackware 8.0 на помойку или вообще все линухи? Или как меня хакнули...


0

0

Поставил себе восьмую слаку, думал все: Я - крутой парень.
Поставил в качестве сервера как гетевай. А также поставил DHCP, MySQl(root c паролем),
Apache(сам настраивал открывается только локалке), Samba(аналогично).
Ядро 2.4 перекопилил собрал с поддержкой iptables, advanced router,
mangle (чотб в интернет по макам пускать)...Настроил файрвол... все ок...
Сегодня пошел настраивать чтоб трафик конролировался(считался для каждого пользователя)....Сижу настраиваю aaa+fw....
И тут началось. Винт начал шуметь... Я веселый, думаю: во кто-то по самбе что-то качает.. И тут мне что-то захотелось набрать ps -ax
я застыл....
В процесе висела здоровенная команда find, greep....., c кучей перенаправлениями потоков (>| & << >>) увидел слово NFS
Я подумал глюк, сразу повторил команду(ps).....этой комманды уже не было. Хорошо что самной рядом сидел парень и он видел все что и я.
Моя первая реакция who (один root - я) lastlogin тоже я, и больше никого.Да больше и юзеров в системе не было только один root. Начал копаться в логах и меня снова потряс шок, в некоторых сообщения DHCP начал находить маки, ктоторых в нашей локалке тоже нет.
А потом у меня на лоб глаза вылезли когда я увидел 16 битовый mac адресс. Ла, подумал я........
И в некоторых местах я находил строчку "--MARK--" без понятия что это
может кто подскажет... Больше я ничего не нашел...
Я записал не наши маки........
Народ скажите что делать!!!! Переходить на OpenBSD или что?
Castl я поставить счас не смогу..Не розберусь.
Кто бы сказал не поверил бы ни зачато. надеюсь на помощь... И куда еще можно глянуть кроме логов...


Apache + PHP...
Как настроить X под разрешение 800x600

Своей правоты я ничем гарантировать не могу, но
1.комманда это скорее всего происходило обновление базы данных locate (NFS, SMBFS итд - это типа не заносить данные о файлах на сетевых ситемах).
2.На счет -MARK- то смотри man syslogd.
3.Насчет MAC-ов не знаю.

Alximik
()

Soglasen s Alximik.

Ti je pomnish, kogda eto bilo (vremya). Posmotri, kogda cron zapuskaet update bazi dannih locate/slocate. Esli sovpadet - uspokoi'sya.

(Mojet i ne tol'ko locate... U menya naprimer ehse est' script, kotorii' s pomoshiu find raz v sutki ishet novie suid-root files i soobshaet mne, ejeli nashel. Mojet ya ne originalen i v Slackware est' chto-nibud' podobnoe.)

anonymous
()

про линухи на помойку. не советую разбрасываться такими словами

имхо человек не знающий элементарии -MARK- и спокойно настраивающий файрвол на iptables, в котором он уверен - нонсенс

А с чего вы взяли что вас хакнули?
Проявились какие то нежелательные или вредные последствия?

вытерите записанные маки :)) они вам не помогут


bass ★★★★★
()

Действительно, его тормоза были связаны с тем, что crond запустил обновление файловой БД. Ничего страшного. Если мешает - убери из crontab. Если вообще crond не нужен - убери из /etc/rc.d/rc.M.

По поводу MAC-адресов: тоже НИЧЕГО страшного. Некорректные MAC-адреса генерятся при коллизиях и т. п. ошибках в сети. Если запустишь netwatch на пару дней, внизу там будет появляться строчка "BAD MAC ADRESS XX:XX:XX:XX:XX:XX". Могу порекомендовать пооптимальнее развести сеть (убрать из коробов с витой парой кабели от электросети и т. п.) и (или) поставить свичи вместо хабов.

Из всего, что ты написал, потенциально опасным может быть только то, что демоны (тот же MySQL) запущены с рутовыми правами. Почитай доки и постарайся сделать из всех под РАЗНЫМИ юзерскими правами.
Далее, убери из /etc/rc.d/rc.S и /etc/rc.d/rc.M ВСЕ ненужные на данной машине демоны... Типа того, что на фиг не нужны все RPC демоны, если ты не используешь NFS.
Пересобери ядро. Выброси ВСЕ неиспользуемые драйверы. Если не используешь маскарадинг, постарайся сделать монолитное ядро без возможности добавления модулей.
Из /etc/inetd.conf убери как минимум 2 строчки: с finger'ом и telnet'ом (не фиг позволять ему telnetd запускать, безопаснее серваком управлять с консоли, либо если уж критично, поставь ssh).
Через hdparm включи всё, что сможешь... Примерно вот так должна выглядеть строчка:
hdparm -a128 -m16 -c1 -d1 -u1 -X69 /dev/hdX (это для ATA100, почитай в man hdparm).

Пожалуй, пока всё... Могу лишь напомнить, что Слакварь - это дистр для думающих людей. Продумай работу сервера, продумай, что ты от него хочешь и сделай всё ПРАВИЛЬНО. Тогда у него будут годовые аптаймы под бешеной нагрузкой... ;-)

R00T
()

Спосибо! Фу, успокоили...

Вот, а ядро я сразу пересобрал, без возможности добавления модулей, ноу меня используется маскарадинг. Одним словом спасибо.....

stanv
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Apache + PHP...
General
Как настроить X под разрешение 800x600