forum.opennet.ru - "Если кто-то был на сервере..." (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Если кто-то был на сервере..."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Если кто-то был на сервере..."
Сообщение от guest (??) on 03-Сен-05, 22:04 (MSK)
Добрый день. Ситуация следующая. Обнаружил, что на сервер кто-то заходил с моей учетной записью. Аккуратненько так, посмотрел сетевый интерфейсы... Не могу понять, как этот кто-то подобрал мой пароль, который состоит не из пяти букв. Вопрос: что необходимо проверить на севрере в плане изменений, и как в дальнейшем можэно предотвартить такие действия. пароль я уже сменил... Спасибо.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Если кто-то был на сервере..., Noname, 05:54 , 04-Сен-05, (1)
- Если кто-то был на сервере..., guest, 15:43 , 04-Сен-05, (2)
  - Если кто-то был на сервере..., RIPper_wk, 18:06 , 13-Сен-05, (3)
  - Если кто-то был на сервере..., antoshkin, 00:11 , 14-Сен-05, (4)
Если кто-то был на сервере..., kisslong, 05:16 , 14-Сен-05, (5)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Если кто-то был на сервере..."

Сообщение от Noname (??) on 04-Сен-05, 05:54  (MSK)

>Добрый день.
>
>Ситуация следующая. Обнаружил, что на сервер кто-то заходил с моей учетной записью.
>Аккуратненько так, посмотрел сетевый интерфейсы...
>
>Не могу понять, как этот кто-то подобрал мой пароль, который состоит не
>из пяти букв.
>
>Вопрос: что необходимо проверить на севрере в плане изменений, и как в
>дальнейшем можэно предотвартить такие действия. пароль я уже сменил...
>
>Спасибо.
Используя коменду find найдите файлы которые изменялись с момента входа непрошенного гостя и произведите их анализ на наличие suid, прав доступа...
Если изменены бинарники, то рекомендую пересобрать их их исходников... если кончено у вас не Solaris... если солярка, то возмите с аналогичной платформы... только аккуратно с библиотеками.. ни в коем случае не трогайте ld.so и аналогичные...
MyHomePage - http://surgutnet.ru

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Если кто-то был на сервере..."

Сообщение от guest (??) on 04-Сен-05, 15:43  (MSK)

Благодарю. Нашел файлы, которые были изменены, но это не бинарники, а программы на Tcl. Находились в директориях /usr/share/doc. whatis назывались. Что-то с памятья делали как я понимаю.
Поудалял их, машину перегрузил.
Кстати, можно ли как-то наказать того, кто это сделал. IP я знаю, адрес компании которая выдала этот IP также известен.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Если кто-то был на сервере..."

Сообщение от RIPper_wk (ok) on 13-Сен-05, 18:06  (MSK)

1) смени парольна кракозябры из 8 и более символов
2) не юай пароли от сервака для своей почты и т.п. сервисов
3) хорошо подумай кто это мог быть.
и наконец , ты сам сетапил машину ?
или от кого-то досталась?
Может человек хотел забрать свое имущество .

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Если кто-то был на сервере..."

Сообщение от antoshkin (ok) on 14-Сен-05, 00:11  (MSK)

Некоторые дают рутовые или wheel права например юзеру vasya, а потом этим же юзером ходят через интернет по фтп на сервак или по поп3, которые можно подслушать любым снифером и вытащить оттуда пароли. А еще лучше - разрешают руту заходить по ссш и поп3 - вообще песня.
Вот тебе и ответ. Ну может не твой случай...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Если кто-то был на сервере..."

Сообщение от kisslong on 14-Сен-05, 05:16  (MSK)

в логах подбора видимо, нет? однозначно чел ЗНАЕТ пасс. менять надо чаще. смени пароли юзеров из wheel дополнительно. ещё лучше логин рута смени (потом восстановить всегда можно... если некоторые софтины привязку к нему делают). посмотри, под кем ещё заходил этот чел. оставь ему приглашение на входе пива попить - может, и узнаешь подробности. вполне возможно, что ему отсылаются пассы, логи, итп. проверь мыло.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Если кто-то был на сервере..."
Сообщение от Noname (??) on 04-Сен-05, 05:54 (MSK)
>Добрый день. > >Ситуация следующая. Обнаружил, что на сервер кто-то заходил с моей учетной записью. >Аккуратненько так, посмотрел сетевый интерфейсы... > >Не могу понять, как этот кто-то подобрал мой пароль, который состоит не >из пяти букв. > >Вопрос: что необходимо проверить на севрере в плане изменений, и как в >дальнейшем можэно предотвартить такие действия. пароль я уже сменил... > >Спасибо. Используя коменду find найдите файлы которые изменялись с момента входа непрошенного гостя и произведите их анализ на наличие suid, прав доступа... Если изменены бинарники, то рекомендую пересобрать их их исходников... если кончено у вас не Solaris... если солярка, то возмите с аналогичной платформы... только аккуратно с библиотеками.. ни в коем случае не трогайте ld.so и аналогичные... MyHomePage - http://surgutnet.ru
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Если кто-то был на сервере..."
	Сообщение от guest (??) on 04-Сен-05, 15:43 (MSK)
	Благодарю. Нашел файлы, которые были изменены, но это не бинарники, а программы на Tcl. Находились в директориях /usr/share/doc. whatis назывались. Что-то с памятья делали как я понимаю. Поудалял их, машину перегрузил. Кстати, можно ли как-то наказать того, кто это сделал. IP я знаю, адрес компании которая выдала этот IP также известен.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Если кто-то был на сервере..."
	Сообщение от RIPper_wk (ok) on 13-Сен-05, 18:06 (MSK)
	1) смени парольна кракозябры из 8 и более символов 2) не юай пароли от сервака для своей почты и т.п. сервисов 3) хорошо подумай кто это мог быть. и наконец , ты сам сетапил машину ? или от кого-то досталась? Может человек хотел забрать свое имущество .
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Если кто-то был на сервере..."
	Сообщение от antoshkin (ok) on 14-Сен-05, 00:11 (MSK)
	Некоторые дают рутовые или wheel права например юзеру vasya, а потом этим же юзером ходят через интернет по фтп на сервак или по поп3, которые можно подслушать любым снифером и вытащить оттуда пароли. А еще лучше - разрешают руту заходить по ссш и поп3 - вообще песня. Вот тебе и ответ. Ну может не твой случай...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

5. "Если кто-то был на сервере..."
Сообщение от kisslong on 14-Сен-05, 05:16 (MSK)
в логах подбора видимо, нет? однозначно чел ЗНАЕТ пасс. менять надо чаще. смени пароли юзеров из wheel дополнительно. ещё лучше логин рута смени (потом восстановить всегда можно... если некоторые софтины привязку к нему делают). посмотри, под кем ещё заходил этот чел. оставь ему приглашение на входе пива попить - может, и узнаешь подробности. вполне возможно, что ему отсылаются пассы, логи, итп. проверь мыло.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]