Strong and Humble пишет:
>
> Так вот что и интересно: БИОС 40Гб не увидел, однако, загрузившись с КД (ALT
> Linux 4 - что-то лёгкое (light, или что0то там), ОС диска тоже НЕ увидела!
-
> Это если про контроллер на системной плате, с новым контроллером не пробовал.
>
>
На первом пне на встроенном контроллере стояли и работали диски по 300ГБ
и это не предел спецификации IDE.
Сам контроллер IDE был обнаружен?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36230; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878878

http://blog.sozinov.eu/2007/03/fail2ban.html

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36229; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878875

>> 1) Отключить сервер от интернет.
>> 2) Сохранить пользовательские данные и настройки
>> 3) Поставить чистую систему
>> 4) Восстановить пользовательские данные и настройки
>
> Так и сделали с последней установкой по отношению к предыдущей. - Но, с тем
же
> результатом, как оказалось. Вот, теперь анализируем...

Повторю дополнительные меры из своего предыдущего поста:

8><Очень помогает если у всех юзверей которым шелл не нужен в качестве
оболочки задан

/sbin/mologin

У меня это в /etc/default/useradd задано. Создается юзер с этим шеллом,
а кому надо потом ручками /bin/bash прописываю.

Еще очень полезно если ssh нужен, повесить его на нестандартный порт.
Можно использовать порт какой-либо из служб которые у Вас не
используются, а лучше взять что-нибудь выше 1024. Их там на всех хватит ;-)

И в /etc/ssh/sshd_config прописать PermitRootLogin no

8><Если предложенные меры не помогли, возможно повторного взлома не было, а
bad boy воспользовался известным ему паролем одного из пользователей.

Стоит дополнительно сменить пароль всем пользователям.

Особое внимание обратить на ОТСУТСТВИЕ РЕАЛЬНОГО ШЕЛЛА у всех
пользователей, кому он реально не нужен. (У меня кроме root и двух
пользователей у всех /sbin/nologin). Это касается и системных
пользователей вроде mysql или squid.

И еще. При восстановлении пользовательских данных на ЧИСТОЙ системе ни в
коем случае не восстанавливать никаких исполняемых файлов. Только
конфигурационные файлы и данные (например почта).

Если все же был повторный взлом, то видимо у кого-то мз Ваших
пользователей слабый пароль вроде "1". Опять же должна помочь смена
пароля, но следует обратить внимание на стойкость паролей.

Кроме того, помнится, в декабре 2008 Вы поднимали подобную тему и тогда
вам советовали обратить внимание на утилиту fail2ban, входящую в
большинство дистров. Повторно обращаю Ваше внимание на эту утилиту.
Очень эффективна.

И еще. Если у Вас на сервере используются PHP-скрипты, погуглите на тему
взлома мспользованной Вами версии PHP-скриптов. Недавнопрокатилась
серия взломов системы дистанционного образования moodle, написанной на
PHP. В этом случае помогало обновление версии moodle.

Спасибо за Ваш ответ, Всеволод:
> мониторить изменения в дальнейшем

дак вот как часто?

1. Anacron - минимум от часа повторяет - т.е. не чаще.

2. Даже если написать что-то своё - опять же как часто:

- ежесекундно не будешь - это н/о ещё и на машину какую переслать! А с частотой
в минуту, - уже б/т поздно на момент взлома...

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36227; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878821

Спасибо за Ваш ответ, Eugene:
> За счет подмены системных утилит, таких как ps, ls и др. на поддельные,
> которые работаю почти так же, но "не выдают своих". На этом собственно и
> основаны методы поиска руткитов (утилиты rkhunter, chkrootkit,
> проверяющие контрольные суммы ключевых утилит ОС).

Так они и сделали - доказано rkhunter-ом.

А вот вопрос: они это сами сотворили, или есть уже готовые наборы - я про
заменяющие ps, ls, и т.д.

> Что делать?
> 1) Отключить сервер от интернет.
> 2) Сохранить пользовательские данные и настройки
> 3) Поставить чистую систему
> 4) Восстановить пользовательские данные и настройки

Так и сделали с последней установкой по отношению к предыдущей. - Но, с тем же
результатом, как оказалось. Вот, теперь анализируем...

А нет ли автоаудиторов для разных служб и/или сервера в целом?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36226; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878815

Спасибо за Ваш ответ, Oleg:
> В первую очередь очень желательно лишить сервер интернета.

1. Сотрудникам он нужен!
2. Легче заметить их деятельность, пока они там что-то творят...

> NB Адекватные руткиты в выводе ps не светятся. Как и в сокетах,
> собственно.

Вот-вот, не видно подозрительного.

> Вообще, на модификацию файлов надо ставить IDS, чтоб само следило.

Это tripware так обзывается? Что есть IDS?

> Или из tor, что тоже не сильно поможет.

А tor что такое? :-)

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36225; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878813

Спасибо за Ваш ответ, Amper:
> Если произошло чудо и логи не потерли то тщательный анализ логов за
> период времени, в которое предпологаемо произошел взлом.

Есть предыдущие (до взлома) журналы, но не видно там чего-либо подозрительного,
похоже, что их просто модифицировали, как и ныне существующие журналы - просто
всё прелестно.

Я вот думаю: возможна ли такая ошибочная конфигурация почтовика, заместителя
(proxy) которая бы привела к взлому с такими правами? Вот, например, в постфикс
- есть запуск в choot - может ли это привести к такой проблеме?

Потом, как выяснить от каких пользователей запускаются разные службы - те же
постфиксы, amavis, squid? - Как я думаю, как раз от root. => В случае взлома
(использования дыры, ещё не известной разработчикам) - можно получить админ-а.

Это размышления... Поправьте, выскажете Ваши соображения.

> Ну и далее, чтобы попытаться вычистить установленную гадость
> ps ax и kill странных процессов
> netstat -nltp и килл лишних сервесов, аналогично для -nlup

Спасибо.

> vim /etc/passwd на предмет пользователей с UID 0

Тут чисто.

> cd / ; ls -la ; ls -la --time=ctime и поиск того, что было
> модифицировано после взлома

Это м/о изменить (даты)...

> > 2. Откуда (ip) "молодцы" были.
> Скорее всего с такой-же жертвы взлома, так что пользы от него не так уж
> и много.

Ну, не обязательно, а если и так - то, что преследуют они - создание сети зомби?

PS Может ли каким-то волшебным образом вражеское ПО записано в "железные"
памяти, или воз-ть обращения ко взломанной версии ОС? - Т.к. ОС установили на
соседний раздел одного диска, отрубив возможность загрузки старой версии.

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36224; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878812

Oleg wrote:
> Добавлю из личного опыта. Обязательно проанализировать логи, чтобы не
> наступить на те же
> грабли (часто остаются следы в логах BASH). У меня первый раз была
> устаревшая версия SSL с дырой
> (в логах соединения было видно) и существовал эксплойт, а во второй раз
> - наружу был открыт SSH и
> юзвери были типа info:info. Зашли под этим пользователем, скомпилили
> руткит, получили права
> суперпользователя и ...

Еще 5 копеек от меня.

Очень помогает если у всех юзверей которым шелл не нужен в качестве
оболочки задан

/sbin/mologin

У меня это в /etc/default/useradd задано. Создается юзер с этим шеллом,
а кому надо потом ручками /bin/bash прописываю.

Еще очень полезно если ssh нужен, повесить его на нестандартный порт.
Можно использовать порт какой-либо из служб которые у Вас не
используются, а лучше взять что-нибудь выше 1024. Их там на всех хватит ;-)

И в /etc/ssh/sshd_config прописать PermitRootLogin no

И конечно регулярный анализ /var/log/secure, /var/log/messages,
/var/log/xferlog

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36223; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878774

Всеволод wrote:
> : >> NB Адекватные руткиты в выводе ps не светятся. Как и в сокетах,
> : >> собственно.
> : >
> : > И как же такое можно сделать?
> :
> : За счет подмены системных утилит, таких как ps, ls и др. на поддельные,
> : которые работаю почти так же, но "не выдают своих". На этом собственно и
> : основаны методы поиска руткитов (утилиты rkhunter, chkrootkit,
> : проверяющие контрольные суммы ключевых утилит ОС).
> :
> : Что делать?
> :
> : 1) Отключить сервер от интернет.
> : 2) Сохранить пользовательские данные и настройки
> : 3) Поставить чистую систему
> : 4) Восстановить пользовательские данные и настройки
>
> и добавлю:
>
> 5) мониторить изменения в дальнейшем
>
>
Добавлю из личного опыта. Обязательно проанализировать логи, чтобы не
наступить на те же
грабли (часто остаются следы в логах BASH). У меня первый раз была
устаревшая версия SSL с дырой
(в логах соединения было видно) и существовал эксплойт, а во второй раз
- наружу был открыт SSH и
юзвери были типа info:info. Зашли под этим пользователем, скомпилили
руткит, получили права
суперпользователя и ...

Олег

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36222; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878718

Настройки в /etc/X11/xorg.conf переключения раскладок есть и работают.
Апплет Индикатор раскладок Gnome при входе в систему (Debian lenny,
обновленный по сегодня) на сочетание клавиш и на мышь не реагирует,
индикацию не переключает, хотя раскладки X сервером переключаются.

Если зайти в Параметры клавиатуры -Раскладки - Параметры раскладки и
что-нибудь там поменять и выйти - все начинает работать. То же самое при
удалении апплета и его добавлении. После перевхода в систему все опять
не работает.

Если убрать настройки переключения в /etc/X11/xorg.conf и настроить
исключительно в Параметры клавиатуры - то же самое - до перевхода.

Что такое может быть? Баг?
Может кто проверить (обновившись)?

-*Название листа "Linux: разрешение вопросов, перспективы и общение";
Написать в лист: mailto:comp.soft.linux.discuss-list@subscribe.ru
Адрес правил листа http://subscribe.ru/catalog/comp.soft.linux.discuss/rules
Номер письма: 36221; Возраст листа: 2166; Участников: 1383
Адрес сайта рассылки: http://www.linuxrsp.ru
Адрес этого письма в архиве: http://subscribe.ru/archive/comp.soft.linux.discuss/msg/878625