Уволился человек, и стало происходить странное

0

0

Был у нас раньше человек, работал вторым администратором. То есть свою смену я сдавал ему. Недели две назад он уволился. Естественно я попросил его сдать пароль, он подошел ( просто проверка ), потом удалил его учетную запись и все его файлы и домашнюю директорию. Неделю назад: сижу с пивом, смотрю - на 2 терминале работает пользователь root. Я аж афанарел. Причем работает просто внаглую, все ресурсы машины пожрал. Ну естественно однопользовательский режим, обнаружил 1 руткит, восстановил все из бэкапа. Причем весь софт последних версий, дырок нету. В результате сервер был недоступен 15 минут, но это ерунда, ибо сами данные не пострадали. Сегодня ночью происходит почти идентичная история - появлеятся пользователь user и втихаря начинает изучать систему. В bash_history: uname -r, uname -a, df, users, id root, cat /etc/passwd и прочее. Я быстренько выкинул его из системы. Потом все проверил: он ничего не успел сделать. Подключил 2 знакомых админов, они тоже не могли понять, как произошел взлом. Логи ведут на проски - серверы. Сам сервер вообще не интересен, Apache + PHP + MySQL. Вообще никаких ценных данных. Интересны ваши мнения, как взломщик мог проникнуть в систему.

Ссылка

←

Хелп. До завтра нужно позарез.

→

>В bash_history: uname -r, uname -a, df, users, id root, cat /etc/passwd и прочее.

помойму это анонимус с лора был, уж больно список команд стандартный. Таким обычно отвечают на вопрос "Что нужно показать, чтобы вы помогли мне настроить XXX?"

lester_dev ★★★★★
(07.06.07 19:17:30 MSD)

Ссылка

Я конечно не админ...

>Причем весь софт последних версий, дырок нету.

Блажен, кто верует. Ага.

Если влезли значит дыры есть. Вот только на кой пару недель как бывшему админу смотреть что за начинка в системе??? Он это и так знает.

PS Так и скажи - ломают меня, а как не пойму...

Bebop ★★
(07.06.07 19:39:23 MSD)

Ответ на: комментарий от Bebop 07.06.07 19:39:23 MSD

Я имел в виду что, что в сводках яузвимостей ничего интересного нету. Сейчас изучаю бэкапы, помоему в них дело, контрольные суммы важных файлов не совпадают.

Zalman
(07.06.07 19:48:10 MSD) автор топика

Ссылка

> Apache + PHP + MySQL

если нет дыр в софте это не значит что их нету в скриптах. над этим стоит подумать ;)

Komintern ★★★★★
(07.06.07 19:49:31 MSD)

Ссылка

http://www.multik.ru/linux/bulgar/

http://www.multik.ru/linux/bulgar2/

sin_a ★★★★★
(07.06.07 19:53:58 MSD)

Ответ на: комментарий от Bebop 07.06.07 19:39:23 MSD

проверь логи ssh, я в последнее время замечал что бутфорсят. Вполне возможно что через отверстиеватый пыпых пробрались, много ума для этого не надо.

~~bugmaker~~ ★★★★☆
(07.06.07 20:12:21 MSD)

если человек пару недель назад еще админил этот севак, нафига он будет uname -r, uname -a делать??

qWen71n ★★★
(07.06.07 20:14:55 MSD)

Ответ на: комментарий от sin_a 07.06.07 19:53:58 MSD

Спасибо sin_a. Думаю, что я нашел проблему. Уволенный админ поставил какую - то хитрую закладку, причем поставил ее давно, и она успела попасть в мой бэкап. Много файлов было модифицировно. Сейчас на аналогичной машине поставлю ОСь заново, перенесу лишь конфиги, и БД. Считаю, что проблема исчерпана. Всем огромное спасибо!

Zalman
(07.06.07 20:18:41 MSD) автор топика

Ссылка

Ответ на: комментарий от bugmaker 07.06.07 20:12:21 MSD

Ко мне вот не по ssh, а на 10602 что-то последнее время часто стучатся:
8 23
9 143
9 3306
9 5222
9 8080
12 25
13 53361
18 2968
19 1027
21 1025
23 3128
25 41853
26 113
29 5110
30 5901
33 137
49 1433
54 4899
56 8000
65 22
118 2967
142 1434
187 5900
283 1026
294 139
312 80
582 53
1250 445
2101 10602
2220 135

pacify ★★★★★
(07.06.07 21:01:37 MSD)

Ссылка

Ответ на: комментарий от qWen71n 07.06.07 20:14:55 MSD

"если человек пару недель назад еще админил этот севак, нафига он будет uname -r, uname -a делать??"

может специально, чтоб вы так и думали... "а зачем бывшему админу эти uname -r и т.д., видимо не он, а хацкиры"? :-)))

smh ★★★
(07.06.07 21:43:27 MSD)

Ответ на: комментарий от smh 07.06.07 21:43:27 MSD

Предлагаю в админы отныне брать только людей со справкой из дурки о ярко выраженной параноидальности. =)

Согласен, может и шифруется.

Bebop ★★
(07.06.07 21:58:03 MSD)

Ссылка

Напряги СБ, скорее всего он работает на конкурентов.

anonymous
(07.06.07 23:46:02 MSD)

Ответ на: комментарий от anonymous 07.06.07 23:46:02 MSD

>Напряги СБ, скорее всего он работает на конкурентов.

Или на ФСБ. Или на зеленых человечков..

Osmos ★★
(08.06.07 01:26:18 MSD)

Ссылка

А ssh-ных ключиков он своих не оставил?

Zmacs ☆
(08.06.07 07:18:41 MSD)

Ссылка

а что, last,grep ssh /var/log/messages и т.п. ничего не показывают ?

dreamer ★★★★★
(08.06.07 19:42:13 MSD)

Ответ на: комментарий от dreamer 08.06.07 19:42:13 MSD

Сервер уже давно девственно чист. Был установлен самописный руткит. После переустановки сервера только дошли руки посмотреть как он работает, и что делает. Разбираюсь :)

Zalman
(08.06.07 19:51:31 MSD) автор топика