im hacked, what to do?

[1vs1]

azi am vazut in tmp chestile astea

Cod: [Selectează]

k
scan.pl
sh

eu sigur nu leam bagat
si am facut hackut nu stiu cum

portu ssh nui pe 22 lam schimbat inainte
userul root nu se poate loga sa am modificat in configu de la ssh

ce pot sa fac acuma sa vad pe unde intra copilu asta in vps

[Tomoiaga]

de pus fisier in tmp, l-a pus. Acum, l-a rulat ? asta e mai important.
Pe unde a intrat, te uiti in logurile de acces la apache. Protocolu ssh e destul de secure, nu cred ca pe acolo a intrat. Apache+php mai probabil.

[organic]

daca e in tmp si sunt detinute de nobody sau apache (userul sub care ruleaza apache, in functie de sistem), e vorba de exploit php.

se rezolva relativ simplu cu disable la functiile de system exec, in principal:

    *  The system function.
    * The exec function.
    * The shell_exec function or its syntactic analogue, the backtick operator, ( ` ).
    * the passthru function.


sau, daca ai timp destul, te uiti prin loguri si vezi daca poti sa depistezi care e scriptul vinovat.

de obicei ce e in tmp cam asta e, fiindca nobody nu are drept de scriere decat acolo.

daca avea root nu cred ca mai gaseai urme, si in mod destul de sigur nu le gaseai in /tmp, dar asta depinde si de IQ-ul hacerului.

[Tomoiaga]

Depinde ce situri sunt, multe scripturi php, din origine sunt originale in prostie. Multe folosesc exec & other. Poti sa dai disable, dar sa verifici functionalitatea siturilor dupa. Daca ai numai un site si iti permiti sa il opresti, atunci opreste-l si fa verificari.

[1vs1]

am rulat k si mia dat

./k
Linux Kernel 2.6.x PRCTL Core Dump Handling - Local r00t
By: dreyer & RoMaNSoFt
[ 10.Jul.2006 ]

• Creating Cron entry
• Sleeping for aprox. one minute (** please wait **)

cei asta

[Tomoiaga]

Dapai man, nu rula scripturile alea, eventual da-i paste aici sa vedem.

[1vs1]

Depinde ce situri sunt, multe scripturi php, din origine sunt originale in prostie. Multe folosesc exec & other. Poti sa dai disable, dar sa verifici functionalitatea siturilor dupa. Daca ai numai un site si iti permiti sa il opresti, atunci opreste-l si fa verificari.

siturile sant 98% toate ale mele, am sa le verific deseara ca acuma ma duc la lucru.
las alea in  tmp asa sa creada ca nu leam observat

[Tomoiaga]

deci, da-i rapid un grep in logurile apache si opreste situ ala cu problema. da-i un netstat -atunlp sa vezi daca ai porturi in plus a.s.o. Nu inseamna neaparat ca te-a hakuit, tre verificat.

[1vs1]

deci, da-i rapid un grep in logurile apache si opreste situ ala cu problema. da-i un netstat -atunlp sa vezi daca ai porturi in plus a.s.o. Nu inseamna neaparat ca te-a hakuit, tre verificat.

tcp        0      0 64.79.2xx.xx:38621          149.9.1.16:6667             ESTABLISHED 29922/psybnc

il las pana deseara


 macar daca i schimba hnumele din psy bnc
10x

[organic]

e tipic man, am avut de astia de vreo 6-7 ori pana m-am prins ca sunt bolovan, am raschetat functiile exec din php.ini si s-a terminat cu distractia gratuita.

majoritatea soft-urilor comerciale nu mai lucreaza cu functii exec de sistem, cel putin eu am scoase o gasca de functii pe un server cu vreo 150 de site-uri or so si nu am avut nici o plangere pana acum legat de asta.

[Tomoiaga]

pai bine, dar ala a pornit ca ai rulat tu scriptul sau eta deja pornit. Vezi sub ce user ruleaza

[Tomoiaga]

organic, ce te faci cand ai 10 clienti toti cu nevoie de exec ?

[Gupi]

organic, ce te faci cand ai 10 clienti toti cu nevoie de exec ?

iei un vps pentru ei

[Tomoiaga]

eh. ziceam de cazul de fata. vps e cheltuiala, mai vrei si cpanel, mai vrei si alte porcarii si uite asa. E drept ca e mai secure asa, pentru restul, dar na...

[xServers.ro]

Stai calm ca se gaseste vps de super calitate cu cpanel si management la sume la care ai primi la altii fara managemen, fara cpanel, jumatate sau o treime. Deci ... iei un VPS, chiar si daca ai costuri aditionale.