sick_torvalds, megtortek:)

Linux-haladó

Sziasztok!

Egyik gepemet megtortek. Honnan tudom?
Van egy docker kontenerem, amiben fut egy minergate-cli parancs, a
kannix/monero-miner repositorybol. A felhasznalonev egy gmail cim.
(van meg par ssh -D futtatni probalo kontener a fugeela/dindssh repobol,
de azok mind hibauzenettel kileptek neki)

Igazabol tok izgalmas, meg sose tortek meg.
A gep felepitese tok egyszeru, van rajta egy docker daemon, es abban fut 9 kontenerem.
Mas programot nem telepitettem, csak ami kenyelmi volt (vim,mc).

Vegigporgettem a /var/log/auth.log-ot, a lastlog, meg a last -f /var/wtmp[.1] parancsokat is.
Az osszes bejelentkezes en voltam (kb. 2 havonta egyszer).

Maga a program inditasa marcius 11-en volt. Szoval 5 napja.

Irtam az emailcimere a sracnak, hogy hogyan csinalta.
De elijeszteni nem akarom:)

Amit csinaltam:
A gepen futo kontenereket atkoltoztettem masik szerverre.
A gepre mutato DNS bejegyzeseket atirtam az uj szerverre.
Jelszot valtoztattam (nem vagyok biztos, hogy jo 5let volt)

ssh-n a root belepes le volt tiltva, de az ssh kulcsos belepest nem hasznaltam,
hanem jelszavasan leptem be.
(tudom lustasag, de eleg sok helyrol be akartam tudni lepni a gepre).

Van egy tippem, hogy hogyan csinalta, szerintem nem a jelszavamat torte meg
(ahhoz a felhasznalonevet is el kellett volna talalnia).

Igazabol amit szeretnek:
- megfigyelni a gyereket. Honnan jon, mit molyol a gepen, ilyesmi. A gep jatszogeppe avanzsalt.
Erdemi munkat nem bizok ra, amig ujra nem huztam.
Viszont ha ujrahuzom, akkor nem tudom kielni a nyomozoi hajlamomat.

Valaki jart mar igy?

  • 3445 megtekintés

( tompos v | 2017. 03. 16., cs – 16:25 )

Ketfele syasadmin van. Akit mar megtortek es akit meg fognak.
Nem irtad le, h mi a tipped.

> Nem irtad le, h mi a tipped.

Nem akarok felrevezetni senkit se. Gondolom van par tipp, amit erdemes megnezni.

Meg egyelore csak tipp, most varok egy honapot, hatha ujratorik. (-> akkor szar tipp volt:)
Ha nem, akkor se lehetek biztos benne.

Az biztos, hogy fontosabb esemenyekrol aktiv monitoring kell
(sikeres login, load kulonosen magas, kontener indulas/leallitas, stb).

Ilyen ezen a gepen nem volt, mivel ez csak egy "fejlesztoi gep".

A jelszo (habar 34 karakter hosszu), kulonosebben nem eros, bar szerintem tavolrol nem torheto brute-force-szal.
Mashol ezt a jelszot nem hasznaltam.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( uid_15426 | 2017. 03. 16., cs – 16:50 )

Ugye a tcp/2376 nem érhető el kívülről?

----------------------
while (!sleep) sheep++;

Szerintem nincs. 


szopo@roller:/proc/774# docker info
Containers: 6
 Running: 6
 Paused: 0
 Stopped: 0
Images: 107
Server Version: 1.12.6
Storage Driver: aufs
 Root Dir: /var/lib/docker/aufs
 Backing Filesystem: extfs
 Dirs: 195
 Dirperm1 Supported: true
Logging Driver: json-file
Cgroup Driver: cgroupfs
Plugins:
 Volume: local
 Network: host null bridge overlay
Swarm: inactive
Runtimes: runc
Default Runtime: runc
Security Options: apparmor seccomp
Kernel Version: 4.4.0-67-generic
Operating System: Ubuntu 16.04.2 LTS
OSType: linux
Architecture: x86_64
CPUs: 1
Total Memory: 1.922 GiB
Name: xxx.yoman.com
ID: 4YTH:4YTH:4YTH:4YTH:4YTH:4YTH:4YTH:4YTH:4YTH:4YTH:4YTH:4YTH
Docker Root Dir: /var/lib/docker
Debug Mode (client): false
Debug Mode (server): false
Registry: https://index.docker.io/v1/
WARNING: No swap limit support
Insecure Registries:
 127.0.0.0/8


netstat -a
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 localhost:domain        *:*                     LISTEN     
tcp        0      0 *:ssh                   *:*                     LISTEN     
tcp        0      0 localhost:953           *:*                     LISTEN     
tcp        0      0 172.17.0.1:41898        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41856        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41880        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41850        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41910        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41904        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41892        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41844        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41886        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41874        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41820        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41868        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41832        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41862        172.17.0.5:http         TIME_WAIT  
tcp        0      0 172.17.0.1:41826        172.17.0.5:http         TIME_WAIT  
tcp        0    316 163-45-63-01.rev.p:ssh catv-160-118-180-:38233 ESTABLISHED
tcp        0      0 172.17.0.1:41838        172.17.0.5:http         TIME_WAIT  
tcp6       0      0 [::]:http               [::]:*                  LISTEN     
tcp6       0      0 [::]:8084               [::]:*                  LISTEN     
tcp6       0      0 [::]:domain             [::]:*                  LISTEN     
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN     
tcp6       0      0 [::]:3001               [::]:*                  LISTEN     
tcp6       0      0 localhost:953           [::]:*                  LISTEN     
tcp6       0      0 [::]:3002               [::]:*                  LISTEN     
tcp6       0      0 [::]:8092               [::]:*                  LISTEN     
tcp6       0      0 163-45-63-01.rev.:http 172.17.0.4:42032        TIME_WAIT  
udp        0      0 163-45-63-01.rev:42735 leeto.nicolbolas.or:ntp ESTABLISHED
udp        0      0 163-45-63-01.rev:38715 merlin.deuza.net:ntp    ESTABLISHED
udp        0      0 163-45-63-01.rev:45955 ns2.pulsation.fr:ntp    ESTABLISHED
udp        0      0 163-45-63-01.rev:55220 ns3.stoneartprod.xy:ntp ESTABLISHED
udp        0      0 163-45-63-01.rev:59442 ns2.euskill.com:ntp     ESTABLISHED
udp        0      0 localhost:domain        *:*                                
udp        0      0 *:bootpc                *:*                                
udp        0      0 163-45-63-01.rev:52373 163-172-10-212.rev.:ntp ESTABLISHED
udp        0      0 163-45-63-01.rev:53463 cluster004.linocomm:ntp ESTABLISHED
udp        0      0 163-45-63-01.rev:50396 tor1.wtfismyip.com:ntp  ESTABLISHED
udp        0      0 163-45-63-01.rev:57624 v.bsod.fr:ntp           ESTABLISHED
udp        0      0 163-45-63-01.rev:51486 ntp.lweber.net:ntp      ESTABLISHED
udp        0      0 163-45-63-01.rev:51588 obsidian.ad-notam.n:ntp ESTABLISHED
udp        0      0 163-45-63-01.rev:45515 dwarfs.linocomm.net:ntp ESTABLISHED
udp        0      0 163-45-63-01.rev:57804 www.mindstudios.com:ntp ESTABLISHED
udp        0      0 163-45-63-01.rev:56793 villisika.miuku.net:ntp ESTABLISHED
udp        0      0 163-45-63-01.rev:48725 server2.bertold.org:ntp ESTABLISHED

Egyebkent a docker remote controllt tcp-n keresztul kulon engedelyezni kell.

Az ntpd binarist osszehasonlitottam a csomaggal: 


$ md5sum /usr/sbin/ntpd
55634906b107c22d331db8de33011fbf  /usr/sbin/ntpd

$ cat /var/lib/dpkg/info/openntpd.md5sums 
a97ee4ec6a9ea8b9682b50d750874bb6  lib/systemd/system/openntpd.service
55634906b107c22d331db8de33011fbf  usr/sbin/ntpctl
55634906b107c22d331db8de33011fbf  usr/sbin/ntpd
af8e69dc696b5cfc810c92a8170943cd  usr/share/doc/openntpd/AUTHORS
2255d1dc0348e6861e7d5ff12d06f69a  usr/share/doc/openntpd/NEWS.Debian.gz
102c8de862c7b55978599a7d153f4aae  usr/share/doc/openntpd/README
4168ca41f73d12196be21aea228221b5  usr/share/doc/openntpd/changelog.Debian.gz
b82908fdbe8e331f730ef401d02459f6  usr/share/doc/openntpd/copyright
edb62c82f5cef31535a42cd574673bb7  usr/share/man/man5/ntpd.conf.5.gz
7ef4679287c7b45217367b4faf3eb33e  usr/share/man/man8/ntpctl.8.gz
b4d58f28ac6006063ac3175a7e9d5d06  usr/share/man/man8/ntpd.8.gz

Kulso portscannert is ratoltam (pl. http://www.ipfingerprints.com/portscan.php )

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Marmint miert aufs-t valasztottam, az overlay, overlay2, aufs, btrfs, devicemapper, vfs, zfs helyett?
Mert itt ezt ajanljak:
https://docs.docker.com/engine/userguide/storagedriver/selectadriver/#s…

(stick to the distribution's default :)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

"""
Which storage driver should you choose?
1. No single driver is well suited to every use-case
"""

es

"""
Use the default storage driver for your distribution.
"""

Ettol persze lecserelhettem volna, hogyha barmi indokolta volna.
Mivel ment (tette a dolgat, nem volt load, nem volt io wait), igy nem foglalkoztam vele.

Raadasul az aufs baromi kenyelmes debugolashoz.
(Amikor pl. a docker commit utan nem lehet docker run-nal elinditani a kontenert, hogy szetnez benne)

Ettol fuggetlenul lehet, hogy rosszul csinalom:)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( szegecs | 2017. 03. 16., cs – 18:15 )

>Egyik gepemet megtortek. Honnan tudom?
>Van egy docker kontenerem

idáig olvastam. igen ez egy intő jel

En komolyan remeltem, hogy ebbol a threadbol valami szakmaisag kerekedik...

Ehelyett atcsapott a szemelyeskedesbe.
En a magam reszerol befejeztem.

Nem szolok tobbet hozza ehhez a forumhoz.
Akar torolhetnem is, de akkor nem lenne vilagos, hogy miert toroltem.
Ezert.

Tovabbi szep napot nektek.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Sertodott kislany hozzaallas helyett inkabb irnal konkretumokat meg konkret kerdeseket.
"szakmaisag" : ilyen topic címmel / indító "taralommal"?

Írhattad volna azt is hogy: MEGHEKKELETEK!! jAy. PASSWD. DÓKER. KONTÉner. DENEMFÁJ nincs rajta fontoscucc. de hánipotnak használnám mert HACCCCCKOOORR
**
komolyan . ? *