странное поведение ls

0

0

был взлом - установили руткит каким-то образом (кстати, на свежеустановленную систему - opensuse). Я его вроде вычистил - провайдер дает возможность использовать recovery систему. Удалил весь мусор, что поставил rootkit и переинсталлировал все пакеты, включая ядро (оно без модулей).

Но осталась некая странность. Иногда команда ls -la показывает владельцем файла не пользователя root, а mysql. Следующий вызов ls - пользователь уже root. Один раз успел сделать whoami - тоже был mysql, хотя залогинился как root.

Чего это может быть такое?

Ссылка

←	нет коннекта по ssh

Посоветуйте алгоритм сжатия+шифрования

→

сноси все и ставь с нуля.

anonymous
(17.09.07 11:27:54 MSD)

Ссылка

Так, кое-что обнаружилось. У mysql логина был uid=0 - но это явно поменяли после взлома уже...

Более непонятно, каким-то образом у mysql появилась .bash_history, откуда видно, откуда скачали rootkit и установили.

Каким образом могли зайти через пользователя mysql? Может, потому что mysql был доступен из интернета (по умолчанию, мля. ну и конфигурация...)?

WindowsUser ★★
(17.09.07 13:06:01 MSD) автор топика

Ответ на: комментарий от WindowsUser 17.09.07 13:06:01 MSD

Вообще-то mysql - сколько сталкивался - системный user с home в /bin/nologin или подобным. Плюс, конечно, man sshd_config /AllowUsers

Anoxemian ★★★★★
(17.09.07 13:14:38 MSD)

Ответ на: комментарий от Anoxemian 17.09.07 13:14:38 MSD

На обоих серверах в passwd: mysql:x:60:106:MySQL database admin:/var/lib/mysql:/bin/bash

Я так понимаю, это дырка?

P.s.: На одном sshd_config на предмет AllowedUsers я закрутил. И на обоих передвинул дефолтовый порт далеко повыше...

WindowsUser ★★
(17.09.07 13:26:28 MSD) автор топика

Ответ на: комментарий от WindowsUser 17.09.07 13:26:28 MSD

mysql:x:60:106:MySQL database admin:/var/lib/mysql:/bin/bash  
                                                   ^^^^^^^^^

 
Так нельзя. Вернее можно, конечно, но в случае дырки - ССЗБ.

Anoxemian ★★★★★
(17.09.07 13:41:42 MSD)