Страница 1 из 1
Взломали. Как починить?
Добавлено: 2007-09-26 19:59:41
braven
Ситуация такова, поломали сервер стоящий в ДЦ.
Сменили владельца у кучи важных системных файлов и папок.
В связи с этим не могу через ssh сделать su, но владельцем файлов сделали юзера ftp:ftp
Суппорт упорно не поднимает трубку, так бы kvm подключили и все ок =\
Демоны почти все мертвые ибо /usr/local/rc.d тоже фтпшный, пашет только ssh и апач.
Была мысль взять где либо скомпиленый фтп сервер запустить и таким образом через фтп сменить владельца файлов, а там уже проще.
Может быть есть какие либо мысли по этому поводу?
Вопрос как можно заменить владельца на одном хотябы бинарнике /usr/bin/sh
Re: Взломали. Как починить?
Добавлено: 2007-09-27 0:40:08
Alex Keda
крон пашет?
каиенить скррипты для крона сам писал? - которые от рута запускаются?
ищи их, может владелец ты и имеешь прпаво менять его. или ты владелец директории где он лежит - тогад его можно удалить и положить свой скрипт с тем же именем
тогда в него chmod лепи, или чё хошь, но аккуратно.
в общем - твоя задача найти файл запускающиийся от рута, который ты сможешь поменять, или в директории котрую ты можешь менять. неважно каким пользователем - лишь бы ты им мог зайти.
============
а чё su грит?
а про мысль с ftp я вообще не понял
Re: Взломали. Как починить?
Добавлено: 2007-09-27 11:23:59
braven
Вобщем пробился все же в суппорт ДЦ, дали KVM, зашел в сингл мод, сделал chown на /usr/bin/
Чуть позже, опишу как все же поломали, если интересно
А про ftp... Все важные файлы имели владельца ftp:ftp поэтому не стартовали rc.d скрипты, невозможно было сделать su и т.п.
Re: Взломали. Как починить?
Добавлено: 2007-09-27 13:27:07
Dolphin_BSD
Описывай, довольно интересно, почитать будет.
Re: Взломали. Как починить?
Добавлено: 2007-09-27 20:08:19
Alex Keda
расскажи. интересно.
особенно интересно - что ftp:ftp - наводит на размышления...
Re: Взломали. Как починить?
Добавлено: 2007-10-04 15:38:14
braven
Вобщем небыло особо много времени и желания разбираться как конкретно поломали, но с большой долей вероятности могу предположить что имели место кривые настройки PureFTP ( причем по ману Лиссяры делал
), хотя и сам успел там накрутить. Но как все же поднялись по директориям до корня и сменить всем файлам в системе владельца, до сих пор загадка, на лицо явное повышение привилегий, хорошо что ничего не успели посадить типа руткита
Кратко опишу проблему.
Захожу однажды на машину через ssh, пытаюсь сделать SU, в ответ получаю отлуп и надпись о том что не имею таких прав и служба не запущена.
Выясняется что все файлы в системе имели владельца ftp:ftp, поэтому система не могла повысить мои привилегии, т.к. сама грубо говоря была обычным юзером
Вылечил все просто, зашел через KVM в сингл моде, chowh root:wheel /usr/bin а дальше уже через путти, пересобрал мир, ядро, поставил schg где только можно и все ок.
Re: Взломали. Как починить?
Добавлено: 2007-10-04 16:05:54
Alex Keda
мдя...
Re: Взломали. Как починить?
Добавлено: 2007-10-04 18:22:35
Toptyg
хех если разговор идет про настройку фтп по мануалу и смену всем и вся прав на фтпешные...
хакеры отдыхают вообщем
ps руткитов под более-менее нестарые версии фряхи приличных нет, могли бы разве что шелл биндить и тп )