юзера моего похачили =)

вот я и потерял девственность, как админ =)

Ацетона хочешь?

Так в итоге-то что? Порутали таки или нет?

Это алкогольный бред, не слушайте

нет, рута походу не взломали, после удаления юзера все нормально заработало.

/lex/randfiles/randsignoff.e

жжет.

А я ведь уже и не вспомню, как потерял девственность. На чердаке наверное или в гараже каком-нибудь.

> А я ведь уже и не вспомню, как потерял девственность. На чердаке наверное или в гараже каком-нибудь.

Хулиганы затащили?

А как залезли узнал?

Методистки из Гороно.

>А я ведь уже и не вспомню, как потерял девственность. На чердаке наверное или в гараже каком-нибудь.

Больно было?

>А как залезли узнал?

У юзверя, видать пасворд был: 123

http://www.securitylab.ru/poc/312948.php

ку?

кстати.. проверил - работает, обновился - не работает ;)

[:|||:] всю ночь тестили на разных ядрах ...

>Хулиганы затащили?

:-D :-D :-D :-D :-D :-D :-D :-D :-D

>Методистки из Гороно.

Эти могут ;-)

Кому интересны файлики, они ещё доступны. На всякий случай сделал бэкап:

http://slil.ru/25463966 http://slil.ru/25463970

Там, в том числе, есть словарь пароликов.

Прикольно, даже исходники к pscan2.c в архиве cobra2007.tar.tar приложил, и отладочную инфу в linux freebsd не удалил.

Я так понимаю, он использует чужой инструментарий. Там даже копирайты почти везде стоят.

pscan2 -- сканилка сети, подбиралка паролей (пакет cobra2007)
lex - IRC бот.

Нифига он не поднял себе привелегии, считай что пронесло :)

а зачем после взлома ставят IRC-ботов?

Чтобы контролировать машину, думаю.

как зачем, спам рассылка по irc чатам

Да именно за этим, пароль походу у юзера был простой. Это не хак, а так, баловство.

я наверное что-то не понимаю, но код

if [ -f a ]; then
./a $1.0
./a $1.1
./a $1.2
....
./a $1.253
./a $1.254
./a $1.255
fi

не проще ли заменить на что-то вроде

for i in `seq 1 256`; do
    ./a $1.$i
done

исполняемые слинковать статиком с dietlibc, стрипнуть sshd ну и пр. по мелочам.

мельчают нынче студенты :-/

// wbr


// wbr

>мельчают нынче студенты :-/

ни че, непуганных Одминов сейчас гора, обожди виндузятники поддтянутся, во веселье будет.

я не догнал, он через ssh вломилсо?

> я не догнал, он через ssh вломилсо?

да нет, через консоль. просто вчера вилфреду ацетон попался дюже ядрёный..

// wbr

А советы наверное стандартные

1. перейти на авторизацию ключами, если возможно, что бы не буртфорсили

2. в фаейрволе ограничить подключения по порту с ip по времени, не больше 1 раза в 15-30 сек, что бы не буртфорсили

3. использовать chrooted ssh, чтобы ограничить в командах и в последствиях взлома для системы в целом.

4. что нибудь еще.

а ну да

5. noexec, хотябы

Конечно не панацея, но...

> 2. в фаейрволе ограничить подключения по порту с ip по времени, не больше 1 раза в 15-30 сек, что бы не буртфорсили

зато теперь могут отлично досить :)

ps: IMHO аутентификации по ключам выше крыши. суметь подобрать 2k ключ - IMHO ребята с такими скилами к вилфреду в обсерваторию не сунутся :)

// wbr

Просто пароль букафф 14-20, вход по ssh только одному юзеру (естесстно не руту), с ограниченного колличества адресов, хотя можно и по ключам аутентификацию.

я ещё порт перевешиваю нафиг, а то много любопытных кетайчегоф в 22 тыкается

Тот же nessus определит сразу, да и nmap вроде это умеет, так что в принципе защита только от пионЭров.

Не знаю как вы, я лично для себя предпочитаю VPN

>ну я юзера быстренько грохнул и полез к нему в bash_history :

чёт молодёж неаккуратно работает ;)

Нет чтобы кинуть с хистори симлинк на /dev/null хотя бы из шела выходили бы через SIGKILL ;)

> Нет чтобы кинуть с хистори симлинк на /dev/null хотя бы из шела выходили бы через SIGKILL ;)

export HISTFILE=/dev/null гуру блин..

// wbr

и вилфред сам себя хакнул?

>export HISTFILE=/dev/null гуру блин..

те же 0_0 только сбоку

гыгы. Второй год прошел уже, как я отошел от дел лечения серверов от этой гадости, а эти киддисы так и не научились что-то автоматизировать и писать нормальные скрипты. лол. Хорошо было бы если бы все хакеры были этого уровня. за сервера можно было бы не волноваться. :)

А про факт взлома, какой же мудак выставляет ssh в мир на дефолтовом порту. Темболее зная про свой лоховский пароль.

>> export HISTFILE=/dev/null гуру блин.. > те же 0_0 только сбоку

те-же? по сравнению с модификацией содержимого домашнего каталога? ну-ну. хакеры блин :-/

// wbr

> Это не хак, а так,

Если сразу не хак, а так.
Если сразу не разберешь
Плох он или хорош

> А про факт взлома, какой же мудак выставляет ssh в мир на дефолтовом порту. Темболее зная про свой лоховский пароль.

С этого момента по-подробнее пожалуйста. Попробуйте kernel.org, sourceforge, прочие - ssh доступен, на порту по умолчанию. Вы считаете перевешивание ssh на другой порт серьезной мерой защиты?

Может вы и HTTP боитесь со стандартного порта раздавать?

> Может вы и HTTP боитесь со стандартного порта раздавать?

по пятницам не раздаём'с

ps: а вообще, настоящие пацаны используют gopher

// wbr