rulinux.net - Форум - Rulinux.net - О недавних событиях

Re:ЖИДЫ СЮДА

Fri, 20 Jun 2014 07:03:41 +0400

> Систем Вэ разве не уволился уже давно?)))

Ты с Тюксоидом перепутал - вот он уже давно нихуя не делает ))

Re:ЖИДЫ СЮДА

Fri, 20 Jun 2014 05:55:31 +0400

А кто же тогда сайт восстанавливал?

Re:ЖИДЫ СЮДА

Fri, 20 Jun 2014 05:45:36 +0400

> Систем Вэ восстанавливает сервак :)
Систем Вэ разве не уволился уже давно?)))

Re:ЖИДЫ СЮДА

Fri, 20 Jun 2014 05:44:49 +0400

> Сейчас она есть.
А сейчас?

Re:ЖИДЫ СЮДА

Thu, 19 Jun 2014 22:48:04 +0400

Разжилась хуем и не знаешь чо с ним делать, проказница?

Re:ЖИДЫ СЮДА

Thu, 19 Jun 2014 21:32:46 +0400

Тебе хуем по губам поводить, негодник этакий?

Re:ЖИДЫ СЮДА

Thu, 19 Jun 2014 20:47:34 +0400

Сейчас она есть.

Re:ЖИДЫ СЮДА

Thu, 19 Jun 2014 20:29:04 +0400

Не было такой! Хотя сегодня я не смотрел.

Re:ЖИДЫ СЮДА

Thu, 19 Jun 2014 20:20:36 +0400

Это прозвучит странно, но конфа называется "rulinux"

Re:ЖИДЫ СЮДА

Thu, 19 Jun 2014 20:14:56 +0400

Я пару раз искал конфу на conference.jabber.ru, но что-то её не находил. Как она хоть называется?

ЖИДЫ СЮДА

Thu, 19 Jun 2014 19:50:46 +0400

Граждане свободного рулинупса!
В связи с участившимися событиями предлагаю всем обменяться JID-ами или ещё лучше подключиться к conference.jabber.ru чтобы каждый раз не вспоминать мучительно куда пойти пока Систем Вэ восстанавливает сервак :)

Мой: hebectb_kto@jabber.org

Re:О недавних событиях

Tue, 17 Dec 2013 14:13:57 +0400

А ты сомневаешься, что это случилось из-за тоталитарного режима единоличной власти бывшего сотрудника КГБ Вольдемара Вольдемаровича Шаломова (оперативный псевдоним "Моль")?

Сомнения - это то, на чём держится их власть.

Сомнения в том, что auditd/rsyslog/aide могут помочь в разоблачении деяний кровавой гэбни - это основа российского тоталитаризма. Если бы каждый вместо того, чтобы выключать selinux сел бы, и настроил сервер как полагается, давно бы уже вокруг нас была свобода и демократия, а не хачи на золотых мазератти.

Re:О недавних событиях

Tue, 17 Dec 2013 13:25:32 +0400

> Но никак не сисадмин, во всяком случае такого уровня, что бы тебе объяснить как наладить аудит.)))
Ну так пусть своих сисаднинов напряжёт.

Re:О недавних событиях

Tue, 17 Dec 2013 13:17:31 +0400

> Вот не надо тут сказки про грузчиков рассказывать.
Систем, ты шо? Этаж уже обсасывалась стописят везде где пациент засвечивался. Я например вполне могу предположить, что он не грузчик в ДЦ, а топманагер или того круче - хозяин. Но никак не сисадмин, во всяком случае такого уровня, что бы тебе объяснить как наладить аудит.)))

Re:О недавних событиях

Tue, 17 Dec 2013 13:11:43 +0400

> Пиши лучше про злодеяния кровавого Путина.

Fix..

Re:О недавних событиях

Tue, 17 Dec 2013 13:05:47 +0400

>Да мне откуда ж знать (я обычный грузчик)
Вот не надо тут сказки про грузчиков рассказывать. Пиши лучше про аудит.

Re:О недавних событиях

Tue, 17 Dec 2013 12:43:18 +0400

>Посоветуй, как его лучше всего настроить.
Да мне откуда ж знать (я обычный грузчик), просто не мог же я не отметиться в треде...

Re:О недавних событиях

Tue, 17 Dec 2013 08:49:46 +0400

>А может это и был хитрый план по всеобщей деанонимизации?
Да там по этим джабберам особо не деанонимизируешь никого.

Re:О недавних событиях

Tue, 17 Dec 2013 08:48:44 +0400

>Пора настраивать аудит, чтобы не гадать потом, что и как
Посоветуй, как его лучше всего настроить.

Re:О недавних событиях

Tue, 17 Dec 2013 06:45:25 +0400

> Каким образом злоумышленники получили доступ к пользователю postgres тоже непонятно.
Очень жаль, собственно это единственное что бы хотелось знать во всей этой истории.

Re:О недавних событиях

Tue, 17 Dec 2013 06:23:20 +0400

> При настройке учитывались пожелания участников конференции, коих набралось внушительное количество
А может это и был хитрый план по всеобщей деанонимизации?

Re:О недавних событиях

Tue, 17 Dec 2013 06:19:35 +0400

Да, займись этим.

Re:О недавних событиях

Tue, 17 Dec 2013 00:18:16 +0400

Пора настраивать аудит, чтобы не гадать потом, что и как

Re:О недавних событиях

Mon, 16 Dec 2013 23:19:41 +0400

Как-то они нас редко любят, заходили боунсер позапускать всего 9 раз

Re:О недавних событиях

Mon, 16 Dec 2013 23:06:46 +0400

короче нас любят =))

отодрали так слегка =)))

Re:О недавних событиях

Mon, 16 Dec 2013 22:25:25 +0400

> Это, кстати, вообще неожиданно сложно решающаяся ситуация под никсами

bashrm -rf `pwd` # гулять так гулять

Re:О недавних событиях

Mon, 16 Dec 2013 22:12:13 +0400

>>Я б на его месте скорее озаботился подтиранием bash_history, .ssh и прочего, чтобы меньше следов оставлять.
Думаю, тот робот был написан хакером не очень высокой квалификации, и:

а)Предполагал, что попадет в пустой каталог

б)Не знал, что rm -rf * не удаляет скрытые файлы. (Это, кстати, вообще неожиданно сложно решающаяся ситуация под никсами)

Re:О недавних событиях

Mon, 16 Dec 2013 21:05:26 +0400

>То есть, база попала под раздачу на самом деле, и никто нам зла не собирался делать.
Ну, можно было бы и не стирать саму базу, стёр бы он свой бинарник, да и дело с концом. Я б на его месте скорее озаботился подтиранием bash_history, .ssh и прочего, чтобы меньше следов оставлять.

Хотя может он как раз и хотел, чтобы заметили и закрыли дырку (пусть даже и переустановкой), это даже благородный шаг получается.

Re:О недавних событиях

Mon, 16 Dec 2013 21:01:54 +0400

То есть, база попала под раздачу на самом деле, и никто нам зла не собирался делать. Так, поставили ирк-прокси, пофлудили, потом ушли и за собой почистили.

Только вместе с мусором выплеснули и ребенка.

О недавних событиях

Mon, 16 Dec 2013 20:46:22 +0400

В общем, в один прекрасный момент сайт стал сообщать, что не может соединиться с базой данных. Раньше такого не было, и я решил быстро зайти и посмотреть, что же там произошло. Зайдя внутрь, я решил перезапустить постгрес для надёжности, ну а постгрес же запускаться отказывался. После непродолжительного тыканья палочкой постгреса оказалось, что директория с данными /var/lib/pgsql пуста. После чего был созван консилиум в аварийно созданной джаббер-конференции rulinux@conference.jabber.ru. Дальнейшее расследование выявило вот что.

Неизвестный хакер какое-то время назад зашел под постгресом по ssh, закинул свой сертификат в ~/.ssh (тут ~ - /var/lib/pgsql), поставил некий софт для irc (psybnc), и, через какое-то время, ликвидировал всё, сделав живительный rm -rf. От него остался .bash_history, кусок которого можно посмотреть тут.

В результате база сайта перестала существовать. Бэкапов на сервере тоже не оказалось (да и откуда), но у хостера остались снапшоты всей системы за последнюю пару дней. Поковыряв немного полумёртвый сервер, было решено восстановить свежий снапшот, взять оттуда ценные данные вроде базы, и переустановить всё заново, во избежание. Что и было произведено ночью (по МСК), но некоторые вещи, наверное, нужно будет ещё донастроить. При настройке учитывались пожелания участников конференции, коих набралось внушительное количество, и которые давали полезные советы по ходу процесса. Не могу не отметить то, что в самой конференции на тот момент было довольно интересно.

В процессе расследования выяснилось, что доступ к серверу у злоумышленников был давно, как минимум с августа (по датам создания ~/.ssh). Следов хакерской активности в других местах замечено не было, но это не значит, что её не было вообще. Логи ssh были в наличии только с ноября, так что изначальный источник атаки установить не удалось. Насколько действительно был заражён сервер, были ли там пропатченные бинарники и прочее - неизвестно, потому решение "переустановить всё с нуля" оказалось самым оптимальным.

Вот интересный кусок /var/log/secure, который относится к тому моменту (единственный успешный заход под postgres по ssh за день). Смена пароля, скорее всего, соответствует последним строкам из bash_history:

text



Dec 15 15:22:48 rulinux sshd[22899]: Address 82.137.11.57 maps to 82-137-11-57.rdsnet.ro, but this does no

t map back to the address - POSSIBLE BREAK-IN ATTEMPT!

Dec 15 15:22:50 rulinux sshd[22899]: Accepted password for postgres from 82.137.11.57 port 2352 ssh2

Dec 15 15:22:50 rulinux sshd[22899]: pam_unix(sshd:session): session opened for user postgres by (uid=0)

Dec 15 15:23:49 rulinux passwd: pam_unix(passwd:chauthtok): password changed for postgres

Каким образом злоумышленники получили доступ к пользователю postgres тоже непонятно. По-идее, он создаётся при установке пакета, и не имеет пароля (но имеет shell). Возможно, изначально они проникли в систему другим способом.

Если у кого-нибудь есть что добавить - пишите.