понедельник, 20 июня 2011 г.

Сегодня ночью сервер GuitarPlayer.Ru был взломан


Взломан неумело, потому что товарищ оставил весь лог команд, что были выполнены, а также свой IP-адрес. Кому интересно, вот логфайл команд, по которым я разматывал клубок назад.

Что мне с товарищем делать? IP Питерский, возиться с этим мне не особо хочется, никаких угроз все равно не поступало, все почистил, и усилил секьюрити. И (хо-хо!) товарищ с этого IP зарегистрирован у нас на форуме.

Из лога:

Jun 20 00:28:59 Debian-50-lenny-64-LAMP sshd[18810]: reverse mapping checking getaddrinfo for client046-44-241-77.msk.tvoe.tv [77.241.44.46] failed - POSSIBLE BREAK-IN ATTEMPT!
История команд:
File: .bash_history Line 1 Col 0 842 bytes 73%
id
cd /home
ls
cd iphone
ls
cd www
ls -la
cd
cd /root
cd .ssh
ls
ls -la
mv /tmp/id_rsa.pub ./authorized_keys
chmod 600 authorized_keys
cat authorized_keys
cd /etc/ssh
ls
cat sshd_config
chmod -o+rw sshd_config
chmod -a+rw sshd_config
chmod -a+w sshd_config
chmod 666 sshd_config
sshd resstart
sshd restart
service sshd stop
/etc/init.d/ssh restart
cat /etc/shadow
gcc asd.c -o asd
cd /tmp
gcc asd.c -o /bin/chox
gcc asd.c -o /bin/chox
ls -la /bin/chox
chmod 4751 /bin/chox
chown root.root /bin/chox
rm -rf asd.c
ls -la /bin
chmod 4751 /bin/chox
ls -la /bin/chox
gcc log.c -o log
./log
./log -u root
./log -u webmaster
./log -u kuzmitch
./log -a 77.241.44.46
cd /home/webmaster
cat /dev/null > .bash_history
cat .bash_history
ls
ls -la
cd /root
ls -la
rm -rf /tmp/enlightenment
rm -rf /tmp/log.c
rm -rf /tmp/log
cat /dev/null > .bash_history
Как говорится, админы делятся на две категории - те, кто делает бэкапы и те, кто УЖЕ делает бэкапы. Я вроде как отношусь к первой категории :)

Если кто точно знает, что товарищ пытался сделать с сервером и что за данные пытался взять, буду премного благодарен за комментарий в этой теме.

UPD: Доступ получили через уязвимость в старом скрипте сабмита ссылок (удалил уже) - ночью я получил порядка 1000 писем с попыткой взлома оттуда:


Комментариев нет:

Отправить комментарий