forum.opennet.ru - "Взломали сервер Freebsd 7.3" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Взломали сервер Freebsd 7.3"

Форум Открытые системы на сервере (Разное / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Взломали сервер Freebsd 7.3"	+/–
Сообщение от xservices (ok) on 07-Дек-10, 22:52
Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не мной) Тот поставил бекдор или что то в этом роде. Теперь не важно меняешь или нет пароли на root заходит. Помогите как выявить бекдор и удалить?
Ответить \| Правка \| Cообщить модератору

Оглавление

Взломали сервер Freebsd 7.3, Аноним, 23:08 , 07-Дек-10, (1)

Взломали сервер Freebsd 7.3, xservices, 23:12 , 07-Дек-10, (2)

Взломали сервер Freebsd 7.3, Аноним, 23:20 , 07-Дек-10, (3) +1

Взломали сервер Freebsd 7.3, Аноним, 10:00 , 08-Дек-10, (4)

Взломали сервер Freebsd 7.3, xservices, 10:01 , 08-Дек-10, (5)

Взломали сервер Freebsd 7.3, sage444, 10:29 , 08-Дек-10, (6)

Взломали сервер Freebsd 7.3, xservices, 10:30 , 08-Дек-10, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Взломали сервер Freebsd 7.3" +/–

Сообщение от Аноним (??) on 07-Дек-10, 23:08

> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не
> мной)
> Тот поставил бекдор или что то в этом роде.
> Теперь не важно меняешь или нет пароли на root заходит.
> Помогите как выявить бекдор и удалить?
Не понятно, что значит "на root заходит".
Я бы для начала закрыл файрволлом весь трафик на машину для всех кроме моего ip. Затем одним из способов заменил бы все системные файлы. Самый быстрый - freebsd-update. Можно также из sysinstall сделать "восстановление" системы, если есть возможность cd с дистрибутивом на сервер вставить. Либо скачать исходники из пересобрать систему.
Если надо, сделаю это для вас за плату.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Взломали сервер Freebsd 7.3" +/–

Сообщение от xservices (ok) on 07-Дек-10, 23:12

Грубо говоря не виден в системе логи чистит, короче похоже на бекдор.
Сервер удаленный пересобирать не буду долго он старенький.
Как выявить бекдор?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Взломали сервер Freebsd 7.3" +1 +/–

Сообщение от Аноним (??) on 07-Дек-10, 23:20

> Грубо говоря не виден в системе логи чистит, короче похоже на бекдор.
> Сервер удаленный пересобирать не буду долго он старенький.
> Как выявить бекдор?
в простейшем случае сравнить даты модификации (ls -l) в /boot/kernel /bin/ /sbin итд. без логов и доступа к серверу сложно понять что там за бэкдор у вас. взять из дистрибутива 7.3 с официального сайта бинарник sshd. Проверить/заменить версиями из дистрибутива модули pam. попробовать поставить security/rkhunter (хотя вряд ли что найдет). find'ом поискать недавно созданные файлы по всей файловой системе, поискать суидники. короче масса вариантов. но начать можно с sshd. хотя если там нормальный бэкдор, то это модуль ядра, который, например, при поступлении определенного icmp пакета открывает root-shell на каком-то известном вашему другу порту.
ну а вопрос, откуда вам знать что там есть друг в системе, если в логах и процессах его не видать?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Взломали сервер Freebsd 7.3" +/–

Сообщение от Аноним (??) on 08-Дек-10, 10:00

> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не
> мной)
> Тот поставил бекдор или что то в этом роде.
> Теперь не важно меняешь или нет пароли на root заходит.
> Помогите как выявить бекдор и удалить?
Переставить систему, без вариантов

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Взломали сервер Freebsd 7.3" +/–

Сообщение от xservices (ok) on 08-Дек-10, 10:01

>> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не
>> мной)
>> Тот поставил бекдор или что то в этом роде.
>> Теперь не важно меняешь или нет пароли на root заходит.
>> Помогите как выявить бекдор и удалить?
> Переставить систему, без вариантов
Понятно :(
Если есть другие варианты подскажите, да я сам дурак патчи не накатал во время.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Взломали сервер Freebsd 7.3" +/–

Сообщение от sage444 (ok) on 08-Дек-10, 10:29

>>> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не
>>> мной)
>>> Тот поставил бекдор или что то в этом роде.
>>> Теперь не важно меняешь или нет пароли на root заходит.
>>> Помогите как выявить бекдор и удалить?
>> Переставить систему, без вариантов
> Понятно :(
> Если есть другие варианты подскажите, да я сам дурак патчи не накатал
> во время.
кажись в портах что-то было для отлова бекдоров;)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Взломали сервер Freebsd 7.3" +/–

Сообщение от xservices (ok) on 08-Дек-10, 10:30

>>>> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не
>>>> мной)
>>>> Тот поставил бекдор или что то в этом роде.
>>>> Теперь не важно меняешь или нет пароли на root заходит.
>>>> Помогите как выявить бекдор и удалить?
>>> Переставить систему, без вариантов
>> Понятно :(
>> Если есть другие варианты подскажите, да я сам дурак патчи не накатал
>> во время.
> кажись в портах что-то было для отлова бекдоров;)
Да проверял но он ничего не нашел

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Взломали сервер Freebsd 7.3"	+/–
Сообщение от Аноним (??) on 07-Дек-10, 23:08
> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не > мной) > Тот поставил бекдор или что то в этом роде. > Теперь не важно меняешь или нет пароли на root заходит. > Помогите как выявить бекдор и удалить? Не понятно, что значит "на root заходит". Я бы для начала закрыл файрволлом весь трафик на машину для всех кроме моего ip. Затем одним из способов заменил бы все системные файлы. Самый быстрый - freebsd-update. Можно также из sysinstall сделать "восстановление" системы, если есть возможность cd с дистрибутивом на сервер вставить. Либо скачать исходники из пересобрать систему. Если надо, сделаю это для вас за плату.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Взломали сервер Freebsd 7.3"	+/–
	Сообщение от xservices (ok) on 07-Дек-10, 23:12
	Грубо говоря не виден в системе логи чистит, короче похоже на бекдор. Сервер удаленный пересобирать не буду долго он старенький. Как выявить бекдор?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Взломали сервер Freebsd 7.3"	+1 +/–
	Сообщение от Аноним (??) on 07-Дек-10, 23:20
	> Грубо говоря не виден в системе логи чистит, короче похоже на бекдор. > Сервер удаленный пересобирать не буду долго он старенький. > Как выявить бекдор? в простейшем случае сравнить даты модификации (ls -l) в /boot/kernel /bin/ /sbin итд. без логов и доступа к серверу сложно понять что там за бэкдор у вас. взять из дистрибутива 7.3 с официального сайта бинарник sshd. Проверить/заменить версиями из дистрибутива модули pam. попробовать поставить security/rkhunter (хотя вряд ли что найдет). find'ом поискать недавно созданные файлы по всей файловой системе, поискать суидники. короче масса вариантов. но начать можно с sshd. хотя если там нормальный бэкдор, то это модуль ядра, который, например, при поступлении определенного icmp пакета открывает root-shell на каком-то известном вашему другу порту. ну а вопрос, откуда вам знать что там есть друг в системе, если в логах и процессах его не видать?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

4. "Взломали сервер Freebsd 7.3"	+/–
Сообщение от Аноним (??) on 08-Дек-10, 10:00
> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не > мной) > Тот поставил бекдор или что то в этом роде. > Теперь не важно меняешь или нет пароли на root заходит. > Помогите как выявить бекдор и удалить? Переставить систему, без вариантов
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Взломали сервер Freebsd 7.3"	+/–
	Сообщение от xservices (ok) on 08-Дек-10, 10:01
	>> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не >> мной) >> Тот поставил бекдор или что то в этом роде. >> Теперь не важно меняешь или нет пароли на root заходит. >> Помогите как выявить бекдор и удалить? > Переставить систему, без вариантов Понятно :( Если есть другие варианты подскажите, да я сам дурак патчи не накатал во время.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Взломали сервер Freebsd 7.3"	+/–
	Сообщение от sage444 (ok) on 08-Дек-10, 10:29
	>>> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не >>> мной) >>> Тот поставил бекдор или что то в этом роде. >>> Теперь не важно меняешь или нет пароли на root заходит. >>> Помогите как выявить бекдор и удалить? >> Переставить систему, без вариантов > Понятно :( > Если есть другие варианты подскажите, да я сам дурак патчи не накатал > во время. кажись в портах что-то было для отлова бекдоров;)
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Взломали сервер Freebsd 7.3"	+/–
	Сообщение от xservices (ok) on 08-Дек-10, 10:30
	>>>> Имею сервер Freebsd 7.3. Не мой, был дан пароль чужому человеку (не >>>> мной) >>>> Тот поставил бекдор или что то в этом роде. >>>> Теперь не важно меняешь или нет пароли на root заходит. >>>> Помогите как выявить бекдор и удалить? >>> Переставить систему, без вариантов >> Понятно :( >> Если есть другие варианты подскажите, да я сам дурак патчи не накатал >> во время. > кажись в портах что-то было для отлова бекдоров;) Да проверял но он ничего не нашел
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору