Szevasztok,
sikerült valami jóhumorú fiatalembernek megba*nia az egyik kis etch szerveremet. A megmaradt logokat közzéteszem, hátha más is tanul belőle...
access.log
error.log
bash_history
- 8751 megtekintés
Hozzászólások
Szabvány baleset mostanában a phpMyAdminon keresztüli törés. Többen is írtunk róla az utóbbi időben... Szóval tépj egy sorszámot és állj be a sorba. :)
-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-
- A hozzászóláshoz be kell jelentkezni
hasonló módszerrel próbálkoztak nálam is. azóta vpn, ssh random porton, apache2 pedig csak a public siteokat engedi ki (amik pedig non-root felhasználóval futnak), minden más csak ssh tunnel vagy vpn alól.
- A hozzászóláshoz be kell jelentkezni
A PHP-s allow_url_fopen és társait is érdemes off-ra tenni, valamint letiltani a shell-t nyitó függvényeket.
- A hozzászóláshoz be kell jelentkezni
sajnos ez van, "megint jönnek kopogtatnak...":
--------------------- httpd Begin ------------------------
Requests with error response codes
404 Not Found
/MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=5606 ... MVER=4&CAPREQ=0: 8 Time(s)
/PMA/main.php: 1 Time(s)
/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=5606 ... MVER=4&CAPREQ=0: 8 Time(s)
/admin/js/keyhandler.js: 1 Time(s)
/admin/main.php: 1 Time(s)
/admin/phpmyadmin/js/keyhandler.js: 1 Time(s)
/admin/pma/js/keyhandler.js: 1 Time(s)
/myadmin/js/keyhandler.js: 1 Time(s)
/myadmin/main.php: 1 Time(s)
/mysql/js/keyhandler.js: 1 Time(s)
/mysql/main.php: 1 Time(s)
/mysqladmin/js/keyhandler.js: 1 Time(s)
/php-my-admin/js/keyhandler.js: 1 Time(s)
/php-my-admin/main.php: 1 Time(s)
/phpMyAdmin-2.2.3/main.php: 1 Time(s)
/phpMyAdmin-2.2.6/main.php: 1 Time(s)
/phpMyAdmin-2.5.1/main.php: 1 Time(s)
/phpMyAdmin-2.5.4/main.php: 1 Time(s)
/phpMyAdmin-2.5.5-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.5.5-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.5.5-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.5.5/main.php: 1 Time(s)
/phpMyAdmin-2.5.6-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.5.6-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.5.6/main.php: 1 Time(s)
/phpMyAdmin-2.5.7-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.5.7/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-alpha/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-alpha2/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-beta1/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-beta2/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-pl2/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-pl3/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.6.0-rc3/main.php: 1 Time(s)
/phpMyAdmin-2.6.0/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-pl2/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-pl3/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.6.1-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.6.1/main.php: 1 Time(s)
/phpMyAdmin-2.6.2-beta1/main.php: 1 Time(s)
/phpMyAdmin-2.6.2-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.2-rc1/main.php: 2 Time(s)
/phpMyAdmin-2.6.2/main.php: 1 Time(s)
/phpMyAdmin-2.6.3-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.3-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.6.3/main.php: 2 Time(s)
/phpMyAdmin-2.6.4-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.6.4-pl2/main.php: 1 Time(s)
/phpMyAdmin-2.6.4-pl3/main.php: 1 Time(s)
/phpMyAdmin-2.6.4-pl4/main.php: 1 Time(s)
/phpMyAdmin-2.6.4-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.6.4/main.php: 1 Time(s)
/phpMyAdmin-2.7.0-beta1/main.php: 1 Time(s)
/phpMyAdmin-2.7.0-pl1/main.php: 1 Time(s)
/phpMyAdmin-2.7.0-pl2/main.php: 1 Time(s)
/phpMyAdmin-2.7.0-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.7.0/main.php: 1 Time(s)
/phpMyAdmin-2.8.0-beta1/main.php: 1 Time(s)
/phpMyAdmin-2.8.0-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.8.0-rc2/main.php: 1 Time(s)
/phpMyAdmin-2.8.0.1/main.php: 1 Time(s)
/phpMyAdmin-2.8.0.2/main.php: 1 Time(s)
/phpMyAdmin-2.8.0.3/main.php: 1 Time(s)
/phpMyAdmin-2.8.0.4/main.php: 1 Time(s)
/phpMyAdmin-2.8.0/main.php: 1 Time(s)
/phpMyAdmin-2.8.1-rc1/main.php: 1 Time(s)
/phpMyAdmin-2.8.1/main.php: 1 Time(s)
/phpMyAdmin-2.8.2/main.php: 1 Time(s)
/phpMyAdmin-2/main.php: 1 Time(s)
/phpMyAdmin/js/keyhandler.js: 1 Time(s)
/phpMyAdmin/main.php: 1 Time(s)
/phpMyAdmin2/main.php: 1 Time(s)
/phpadmin/js/keyhandler.js: 1 Time(s)
/phpmyadmin/js/keyhandler.js: 1 Time(s)
/phpmyadmin/main.php: 1 Time(s)
/phpmyadmin1/js/keyhandler.js: 1 Time(s)
/phpmyadmin2/js/keyhandler.js: 1 Time(s)
/phpmyadmin2/main.php: 1 Time(s)
- A hozzászóláshoz be kell jelentkezni
természetesen, ez is alap azóta. :]
igazából php-s app csak pma van, mono és python webappok futnak a szerveren főleg.
- A hozzászóláshoz be kell jelentkezni
https + authentication required nem elég?
- A hozzászóláshoz be kell jelentkezni
kifejtenéd nekem ezt a random portos ssh-t vpn-el? mini howto? :) érdekelne...
- A hozzászóláshoz be kell jelentkezni
Ha már ilyen megoldáson töröd a fejed, javaslom a SOCKS5 proxy-t. Ssh-ba bele van építve, az "ssh -D" kapcsolóval lehet előhozni(putty-ban dinamikus tunnel), és a firefox pl támogatja.
- A hozzászóláshoz be kell jelentkezni
ez is tökéletes megoldás, vagy portforward a megfelelő használni kívánt portokra. sokáig így volt, míg nem voltunk vpn-ben.
- A hozzászóláshoz be kell jelentkezni
random portot értsd úgy, hogy kiszúrtunk egy 60000 feletti random számot és most azon csücsül a vpn. volt már hogy megvlátoztattuk, mert valaki "kiszúrta" és bä$zäkøĐøŧŧ vele, de nem jellemző.
- A hozzászóláshoz be kell jelentkezni
Nem kötekedésből kérdezem, csak én ezt használom, és érdekelne a véleményed.
Tehát https + http autentikáció. Végül is ugyan az mint a tied, csak vpn nélkül.
- A hozzászóláshoz be kell jelentkezni
igen, gyakorlatban semmivel nem ad kevesebb biztonságot mint a vpn, csak így kevesebb dolog látszik kifelé az x+1 open tcp portból. ennek igazából architektúrális okai is vannak. a fejlesztői és a production server is közös vpn-ben van, ahogyan a fejlesztők gépei is. egyszerűen így alakult ki, nem szeretünk jelszavakat pötyögni. ssh mindenhol látszik kifelé, van banafterloginfailures és amúgy is kulcsokkal operálunk amiket indőnkként cserélünk.
- A hozzászóláshoz be kell jelentkezni
Hát igen, nekem is architektúrális okaim vannak. Egy darab Virtual server van, a felhasználók meg szétszórva a nagyvilágban.
Meg aztán nem vagyunk olyan jól szervezettek, ha kitalálnám hogy mindenki gépére vpn, nem tudnák egy könnyen leadminisztrálni a dolgot akiknek kell.
Találtam egy egész jó klienst ssh-hoz, ami már majdnem felér egy VPN-nel:
http://www.bitvise.com/tunnelier
És 5 felhasználó alatt ingyenes. :)
- A hozzászóláshoz be kell jelentkezni
Ha letöltöm a rootkitet, akkor az warezolásnak számít?
# PRIVATE ! DO NOT DISTRIBUTE BITCHEZ !
*** VERY PRIVATE ***
*** so dont distribute ***
- A hozzászóláshoz be kell jelentkezni
LOL... ha "very private" akkor minek rakja ki AZ internetre?
--
\\-- blog --//
- A hozzászóláshoz be kell jelentkezni
Ő (talán tapasztalatai alapján) lehet, hogy úgy gondolja, hogy teljesen felesleges korlátozni a hozzáférést, mert aki nagyon akar, az úgyis bejut.
- A hozzászóláshoz be kell jelentkezni
vagy csak ismeri az usereket:
- kérek ezt a gombot semmilyen körülmények között ne nyomja meg
- miért?
ergo: hogy terítsd? tiltsd meg, terjed majd magától :D
--
xterm
- A hozzászóláshoz be kell jelentkezni
Bocs, de nem találom a gombot, amit nem szabadna megnyomni. Próbáltam duplaklikkel is a "gombot" meg az "ezt" szón, de csak kijelölte. Segítsetek már!
- A hozzászóláshoz be kell jelentkezni
hm?
--
xterm
- A hozzászóláshoz be kell jelentkezni
Semmi, megtaláltam.
- A hozzászóláshoz be kell jelentkezni
ezen én is röhögtem már
...kínomban :)
- A hozzászóláshoz be kell jelentkezni
:) Hát mást ilyenkor már nem nagyon tehet az ember.
Amúgy ez a "bitchez" pont úgy hangzik, mint valami spanyol családnév :)
Sancho Bitchez de la Roota :)
- A hozzászóláshoz be kell jelentkezni
Vagy a női megfelelő:
Santa Puta del Raíz
:)))
- waiter -
- A hozzászóláshoz be kell jelentkezni
én tanulás céljából leszedtem
érdemes ismerni a "fegyvertárat" nem?
____________________
Ha igen akkor miért nem...
Linux 2.6.30-gentoo-r4 i686 Intel(R) Core(TM)2 Duo CPU E6550 @ 2.33GHz GenuineIntel GNU/Linux
- A hozzászóláshoz be kell jelentkezni
Az access logbol azt latom hogy egy roman emberke volt a tettes.
"Toata dragostea mea pentru diavola" Annyit jelent mint "Minden szerelmem a satankae"
a bash history-bol a "futaidrone" neve pedig "atb@szodrone"-ra fordithato.
--
FeZo
- A hozzászóláshoz be kell jelentkezni
már egy egyszerű .htaccess-el is védheted az ilyen jellegű támadást...
- A hozzászóláshoz be kell jelentkezni
És mi kerülne pontosan a .htaccessbe? Mivel oda több mindent is lehet írni.
- A hozzászóláshoz be kell jelentkezni
Mondjuk valami ilyesmi:
AuthUserFile /full/path/to/htpasswd
AuthType Basic
AuthName "My Secret Folder"
Require valid-userA htpasswd file-t meg legenerálod.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ok, akkor egyre gondoltunk, csak szerintem ez egy kezdonek nem volt egyertelmu. Mert pl Rewriteot is szoktak htaccessbe tenni. Koszi.
- A hozzászóláshoz be kell jelentkezni
a "vedheted" es a "htaccess" szavakbol ha nem tud googlizni, akkor mit keres uzemeltetesnel?
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Google "pistol clan su"
- A hozzászóláshoz be kell jelentkezni
Tisztán kíváncsiságból ráengedtem clamav-ot, és avast for linux-ot a log-okban lévő 2 szépségre. Mindkettő felismerte.
[salaud@XXX]$ clamdscan /media/tarhely/Vírusok/
/Vírusok/Rootkitek/war.tar: Linux.RST.B-1 FOUND
/Vírusok/Rootkitek/rk3.tar: Trojan.Rootkit-115 FOUND
----------- SCAN SUMMARY -----------
Infected files: 2
Time: 0.091 sec (0 m 0 s)
[salaud@XXXX]$
---------------------------------------------------------------------------------
A Linux nem ingyenes. Meg kell fizetni a tanulópénzt.
Az emberek 66 százaléka nem tud számolni! Gondoljatok bele, ez majdnem a fele!!
- A hozzászóláshoz be kell jelentkezni
Helló!
Nem tudom,hogy mit csinál a progi,amit feltettek hozzád,csak egy ötlet:
Ha adatokat akarnak kinyerni,s valaki tudna írni egy scriptet,ami küld nekik gazdagon,mondjuk a dev/null -ról, akkor lehet,hogy én is ráengedném a 3 megás feltöltési sebességemet,hagy teljen a hakker gépe. .. Ha már adat kell neki,hagy szokja,hogy kap... :)
- A hozzászóláshoz be kell jelentkezni
Ha ez is nem lenne illegális, gondolom velem együtt többen is tudnának 100 mbit/s sebességgel DoS-olni a hacker gépére :)
Korábbi betörési kísérletnél már nyomtam vissza neki néhányezer tcp connectet, hogy hátha rájön, hogy rossz ajtón kopogtat. Amúgy php alól kb. 5 sor.
- A hozzászóláshoz be kell jelentkezni
Ez igazán okos tekintettel arra hogy az esetek döntő többségében ez nem saját gépről érkező támadás, hanem már megtörtről. A l33th4x0r elvtárs meg választ egy másik zombigépet a világ túloldaláról és folytatja a baromságait.
Ha tényleg tenni akarsz valamit, akkor írsz a hálózatot üzemeltetőnek, hogy mit észleltél és milyen IP-ről. Általában lehúzzák az ilyen gépet elég hamar.
- A hozzászóláshoz be kell jelentkezni
"Nem tudom,hogy mit csinál a progi,amit feltettek hozzád"
Pedig az mindenkinek jobb lenne.
"Ha adatokat akarnak kinyerni,s valaki tudna írni egy scriptet,ami küld nekik gazdagon,mondjuk a dev/null -ról"
OMFG.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Talán segít, hogy ki mi(lyen portoka)t használt (kotonon kívül):
awk 'BEGIN{for(i=6;i<65535;++i){print "fuser -aiv " i "/tcp";}}' | sh 2>&1 | sed '/^[0-9].*[^:]$/!d'Pub:
Tudom, kedves népség, lehet greppel, dobbal, nádihegedűvel finomítani. Ne aggódjatok, megcsináltam magamnak :>
ami át van húzva, azt teljesen fölösleges elolvasni. az olyan, mintha ott sem lenne
- A hozzászóláshoz be kell jelentkezni
netstat -ltp -bol nem egyszerubb kiindulni?
t
- A hozzászóláshoz be kell jelentkezni
Ha valakinek feltörik a gépét azt lehet jelenteni?
Hol?
--
Home: Ubuntu 8.04 LTS
Server: Debian Lenny
- A hozzászóláshoz be kell jelentkezni
Az illeto (ahonnan jott) ISP abuse cimen, vagy a itt.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Minek ? Konfigurálni egyszerűbb és akkor nem törnek.
- A hozzászóláshoz be kell jelentkezni
A mai nap több ilyet láttam a logban:
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/roundcubemail-0.2/bin/msgimport' (23.66ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/roundcubemail/bin/msgimport' (22.16ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/roundcubemail-0.1/bin/msgimport' (19.01ms)
Szóval kinéz egy roundcube hiba, ha ennyire keresik. :)
--
http://wiki.javaforum.hu/confluence-2.10/display/FREEBSD
- A hozzászóláshoz be kell jelentkezni
Raktam egy .htaccess -t a /bin -re, addig jó míg befrissíti az ember, mert a levelezés attól megy.
Megjegyzem megjelent a 0.3 stable
- A hozzászóláshoz be kell jelentkezni
Ma ezt láttam a (tegnapi) logban:
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/eshop/admin/includes/stylesheet.css' (29.19ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/negozio/admin/includes/stylesheet.css' (25.26ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/ecommerce/admin/includes/stylesheet.css' (28.46ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/public/admin/includes/stylesheet.css' (29.16ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/shops/admin/includes/stylesheet.css' (32.3ms)
Szóval valamelyik webshop törése is a láthatáron van és keresik a programot...:)
--
http://wiki.javaforum.hu/confluence-2.10/display/FREEBSD
- A hozzászóláshoz be kell jelentkezni
regisztráld a possible0day.com-ot :P
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Na, regisztrálnom kellene az oldalt... :)
Az utóbbi pár nap termése:
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/poll/png.php' (18.09ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/pma/main.php' (32.38ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/print_bug_page.php' (21.84ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/signup_page.php' (46.58ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/chat/messagesL.php3' (75.33ms)
hu.javaforum.filters.DomainFilter.doFilter[296]: Unknown error, URI is '/JavaForum2.0-war/chat3//chat/messagesL.php3' (19.8ms)
- A hozzászóláshoz be kell jelentkezni
Milyen verziójú myadmin futott?
- A hozzászóláshoz be kell jelentkezni
már megvolt a reinstall, úgyhogy nemtudom. de az volt, ami az etch -ben gyárilag van. tehát nem valami friss...
- A hozzászóláshoz be kell jelentkezni
Nálam is próbálkoztak, egészen friss a log.
67.205.89.102 - - [13/Oct/2009:11:31:14 +0200] "GET //phpmyadmin//scripts/setup.php HTTP/1.1" 404 303 "-" "ZmEu"
....
67.205.89.102 - - [13/Oct/2009:11:35:34 +0200] "GET //phpMyAdmin//scripts/setup.php HTTP/1.1" 404 303 "-" "ZmEu"
A phpmyadmin setup könyvtára át van nevezve.
Kedvem lenne valamilyen ellenszer visszajuttatására de attól tartok az is csúnya dolog lenne.
- A hozzászóláshoz be kell jelentkezni
A hálózatának whois-ában szereplő abuse címre írj és asszem a ZmEu user agentre relatív könnyen tudsz szabályt tenni vagy kitiltod a tűzfalon az IP-t. Gyakorlatilag semmilyen opensource csodát nem szabad a default könyvtárban hagyni, mert amint jön vmi 0day bug rögtön jön is a szken, de ezzel gondolom nem mondtam sok újat.
U.I: Ha mindenki beírná a fórumra, hogy mennyi "támadás" érkezik zombigépekről, akkor a SUN nem győzni storage-el támogatni a HUP-ot. :P
- A hozzászóláshoz be kell jelentkezni
Nekem ilyenek vannak a logomban(Ez próbálkozásnak számít?):
174.129.93.241 - - [25/Oct/2009:00:16:35 +0200] "GET http://socks72.com/ HTTP/1.0" 200 39 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
- A hozzászóláshoz be kell jelentkezni
Ja, open proxyt keresnek.
--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!
- A hozzászóláshoz be kell jelentkezni
Azt kereshetnek, nincs rajta proxy szerver :)
- A hozzászóláshoz be kell jelentkezni