b_a_t: (daemon)
b_a_t ([personal profile] b_a_t) wrote2008-09-26 11:51 am
  • Add Memory
  • Share This Entry
  • Current Mood: bored
Entry tags:

(no subject)

Ну елки-палки... Злые хакеры таки сегодня утром поломали наш файл-сервер и зателяли сканирование сети с помощью nmap с этой машины. Через что и были вычислены.

В очередной раз это Debian. Это становится уже хорошей интернет-традицией. При том, что рядом стоит кучка машин с FreeBSD, которые никто не тронул :)

В общем, конечно, это просчет с нашей стороны, сисадминской. SSH доступ к серверу был открыт для всего мира, пароли на некоторых аккаунтах оказались...Ну, в общем, они были :)
Flat | Top-Level Comments Only

[identity profile] brammator.livejournal.com 2008-09-26 11:36 am (UTC)(link)
хехе.. сразу видно бсдятников!

[identity profile] b-a-t.livejournal.com 2008-09-26 11:44 am (UTC)(link)
Ага, поломали Дебиан, а видно - бсдятников :)?

[identity profile] brammator.livejournal.com 2008-09-26 12:10 pm (UTC)(link)
вот-вот! бебиан, и тот сломали!

[identity profile] b-a-t.livejournal.com 2008-09-26 12:20 pm (UTC)(link)
Ну, он как тот стеклянный дилдо. И разобъешь, и руки порежешь.

[identity profile] brammator.livejournal.com 2008-09-26 12:25 pm (UTC)(link)
тут скорее про другой елдак поговорка, который без костей, а и то сломали.

бтв on completely unrelated note, на днях один бсдшник проверял наличие линка до нас со своей родной бсди. пингом. на бродкаст заместо шлюза.

[identity profile] b-a-t.livejournal.com 2008-09-26 12:46 pm (UTC)(link)
Ггг, и как, ему что-то ответило :)? А ведь лет 10 назад отвечало :) Причем бодро так!

[identity profile] brammator.livejournal.com 2008-09-26 01:01 pm (UTC)(link)
конешно ответило! сам бсдя прилежно и отвечала. а чо, "у меня пинг есть, чините на своей стороне!"

[identity profile] b-a-t.livejournal.com 2008-09-26 01:03 pm (UTC)(link)
Мухаха!

[identity profile] msh.livejournal.com 2008-09-26 11:40 am (UTC)(link)
поставь sshdfilter

[identity profile] b-a-t.livejournal.com 2008-09-26 11:44 am (UTC)(link)
Да я просто ssh прикрыл от всего мира. На вопрос - зачем он был открыт вообще так никто и не ответил. Когда фаерволом рулит десяток человек - ничего хорошего из этого не выходит :(
abbra: (Default)

[personal profile] abbra 2008-09-26 12:02 pm (UTC)(link)
Воот. К системе это не имеет ни малейшего отношения. :-)

[identity profile] b-a-t.livejournal.com 2008-09-26 12:14 pm (UTC)(link)
Ну вот рядом стоит десяток FreeBSD - никто не позврился :) Скажете - тоже совпаденьице :)?
abbra: (Default)

[personal profile] abbra 2008-09-26 12:14 pm (UTC)(link)
Конечно совпадение. :-) Кто же знал, что они "рядом"?

[identity profile] b-a-t.livejournal.com 2008-09-26 12:18 pm (UTC)(link)
Ну, учитывая, что какера поймали за прогоном nmap... Думаю, он уже знал :) Но не посягнул!

Впрочем, конечно, в 99% случаев взломы - это кривые руки одминов :(

[identity profile] danfe.livejournal.com 2008-09-26 12:27 pm (UTC)(link)
На самом деле, sshd вполне можно выставлять в интернеты. При этом надо либо порт сменить с дефолтного, либо разрешить только авторизацию по ключам, либо и то, и другое.

Слышал, что по умолчанию в редхатах sshd пускает рута. Это, конечно, вообще пиздец.

[identity profile] b-a-t.livejournal.com 2008-09-26 12:43 pm (UTC)(link)
Ну, иногда приходится выставлять, да. Но вот файл-серверу это совсем нафиг не надо было. А тому, кто запихал в LDAP guest:guest.... Я даже не знаю, что оторвать надо :>

Да, у большинства Линуксов root в ssh открыт. В принципе, особой проблемы в этом нет, ИМХО, но я обычно таки закрываю. Ну а во FreeBSD это умолчание :)

А вообще, есть например knockport шняга, в которую надо ткнуться, тогда она тебе откроет другой порт с ssh уже. Причем можно последовательночсть задавать - один порт, потом другой, потом 3-й - только тогда откроется ssh.

[identity profile] dil.livejournal.com 2008-09-26 12:56 pm (UTC)(link)
а еще port knocking помогает от тупых ботов

[identity profile] b-a-t.livejournal.com 2008-09-26 12:59 pm (UTC)(link)
Да, надо бы завести :)

[identity profile] madgor.livejournal.com 2008-09-26 12:05 pm (UTC)(link)
Я честно не врубаюсь, о чём здесь идёт речь, но надеюсь всё хорошо!!! :)

[identity profile] b-a-t.livejournal.com 2008-09-26 12:24 pm (UTC)(link)
Ну, относительно нормально, да :)

[identity profile] furry.livejournal.com 2008-09-26 12:06 pm (UTC)(link)
Я не поняла, какая связь между типом системы и тем, что ее взломали через подбор паролей? ;-)

[identity profile] b-a-t.livejournal.com 2008-09-26 12:16 pm (UTC)(link)
Мне тоже интересно! Почему из десятка FreeBSD машин и одной! Debian - сломали таки Debian :)?

[identity profile] strangestone.livejournal.com 2008-09-26 12:19 pm (UTC)(link)
Да кому нужна какая-то FreeBSD.

Вот Debian -- это да, почетно взломать ;)

[identity profile] b-a-t.livejournal.com 2008-09-26 12:23 pm (UTC)(link)
Да какой там почет! Вот OpenBSD поломать - почет!

[identity profile] dil.livejournal.com 2008-09-26 12:26 pm (UTC)(link)
а у вас и он есть?

[identity profile] b-a-t.livejournal.com 2008-09-26 12:36 pm (UTC)(link)
Не, нету... Мы счас стараемся свести все к RHEL, FreeBSD и Windows 2008.

[identity profile] ledy-starlight.livejournal.com 2008-09-27 11:53 am (UTC)(link)
и что там тогда делал дебиан?:)

[identity profile] b-a-t.livejournal.com 2008-09-27 11:54 am (UTC)(link)
Прокрался незаметно, пока мы спали :( Не выгонять же!

[identity profile] ledy-starlight.livejournal.com 2008-09-27 02:04 pm (UTC)(link)
и правда

[identity profile] asper.livejournal.com 2008-09-27 12:59 am (UTC)(link)
OpenVMS

[identity profile] dil.livejournal.com 2008-09-26 12:26 pm (UTC)(link)
и мне! поймаете хакера - спросИте :)

[identity profile] b-a-t.livejournal.com 2008-09-26 12:38 pm (UTC)(link)
Могу его IP отдать, но сам понимаешь, пользы от них :)

[identity profile] reedcat.livejournal.com 2008-09-26 12:31 pm (UTC)(link)
Почему если стоит один колесный трактор и десять гусеничных, подвыпившие подростки полезут кататься именно на колесном? :)

Да потому, что они хотя бы руль там могут найти :)

[identity profile] b-a-t.livejournal.com 2008-09-26 12:36 pm (UTC)(link)
Да, тут с тобой не поспоришь :)

кстати

[personal profile] alll 2008-09-26 12:58 pm (UTC)(link)
Один мой знакомый админ имел обыкновение менять строку идентификации ос на DOS 1.0

Re: кстати

[identity profile] b-a-t.livejournal.com 2008-09-26 01:03 pm (UTC)(link)
Ну, этого добра и у нас хватает :) то Windows, то BSD4.4-lite, то AmigaOS :)

Re: кстати

[identity profile] asper.livejournal.com 2008-09-27 12:57 am (UTC)(link)
ой, я думал тока школьники этим занимаются

Re: кстати

[identity profile] asper.livejournal.com 2008-09-27 01:00 am (UTC)(link)
хотя это, о какой строке вообще речь идет?

Re: кстати

[personal profile] alll 2008-09-27 07:54 am (UTC)(link)
На самом деле о нескольких и разных. Например, некоторые сервера имеют обыкновение выдавать информацию о себе первому встречному, тот же апач, насколько я помню.

[identity profile] ledy-starlight.livejournal.com 2008-09-27 11:56 am (UTC)(link)
посему сломали, посему сломали... потомусьто отлыто было!
фрашки-то небось лучше запоролены были:)

[identity profile] b-a-t.livejournal.com 2008-09-27 11:59 am (UTC)(link)
Ну, немного лучше, да :) И в интернет голой попой не смотрели :)

[identity profile] ledy-starlight.livejournal.com 2008-09-27 02:04 pm (UTC)(link)
вот! а еще вопросы задаешь:)

[identity profile] noonday-garaged.livejournal.com 2008-10-03 07:13 pm (UTC)(link)
Очень понравился ваш ЖЖ, я вас зафренжу и было бы круто если бы вы ответили взаимно;)
Flat | Top-Level Comments Only