VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
Здравствуйте, такой вопрос. Постоянно ломают рут пароль к серверу. Потом с этого сервера проводят DDOS атаку. Что делать не знаем, восстанавливали из Backup. Все равно ломают. Даже на новой и чистой ОС ломают.
@SilviaBlondy, обратись к @Smalesh, он вроде в таких вопросах разбирается.
Smalesh
В Черном списке
Join Date: Oct 2006
Награды в конкурсах:
Posts: 3,055
Версия vB: 3.8.7
Пол:
Reputation:
Мастер 3982
Репутация в разделе: 166
1
Перейти на ключи. И не могут новый и чистый ос взять и поломать. Или ставите что-то дырявое или пароль из пяти символов.
Только причем тут ветка 3.8 - ума не приложу.
Перейти на ключи. И не могут новый и чистый ос взять и поломать. Или ставите что-то дырявое или пароль из пяти символов.
Только причем тут ветка 3.8 - ума не приложу.
Пароль 20+ символов...
Ветка 3.8 потому что у нас форумы на 3.8...
Надо понять через что ломают, и прикрыть дыру.
Smalesh
В Черном списке
Join Date: Oct 2006
Награды в конкурсах:
Posts: 3,055
Версия vB: 3.8.7
Пол:
Reputation:
Мастер 3982
Репутация в разделе: 166
0
Quote:
Originally Posted by SilviaBlondy
Надо понять через что ломают, и прикрыть дыру.
А логи читать не пробовали? Это единственный способ понять, что происходит.
20+ пароль ни о чем, достаточно одного дырявого скрипта или панели или просто старый софт.
А логи читать не пробовали? Это единственный способ понять, что происходит.
20+ пароль ни о чем, достаточно одного дырявого скрипта или панели или просто старый софт.
После того как хостер закрыл сервер он прислал логи, но они не полные. Оффтоп
Вот список всех кто входил к Вам по FTP или SSH протоколу:
root@honda-club:/# last
hondaclu ftpd460 ppp109-252-52-97 Fri Sep 9 15:34 - 15:36 (00:02)
hondaclu ftpd31519 93.89.188.62 Fri Sep 9 13:30 - 13:39 (00:09)
hondaclu ftpd28368 ppp109-252-52-97 Fri Sep 9 08:12 - 08:25 (00:13)
hondaclu ftpd28299 ppp109-252-52-97 Fri Sep 9 08:07 - 08:07 (00:00)
hondaclu ftpd28042 ppp109-252-52-97 Fri Sep 9 08:00 - 08:07 (00:06)
hondaclu ftpd22017 ppp109-252-52-97 Fri Sep 9 07:20 - 07:21 (00:01)
hondaclu ftpd6288 ppp109-252-52-97 Fri Sep 9 07:02 - 07:12 (00:10)
hondaclu ftpd5029 ppp109-252-52-97 Fri Sep 9 06:43 - 06:53 (00:10)
reboot system boot 2.6.32-042stab11 Fri Sep 9 04:04 - 22:16 (18:11)
reboot system boot 2.6.32-042stab11 Thu Sep 8 20:24 - 04:04 (07:39)
root pts/0 95-24-55-157.bro Sun Nov 9 20:45 - 23:28 (02:42)
root pts/0 95-24-55-157.bro Sun Nov 9 20:31 - 20:33 (00:02)
root pts/0 95-24-55-157.bro Sun Nov 9 20:23 - 20:23 (00:00)
root pts/0 95-24-55-157.bro Sun Nov 9 20:22 - 20:22 (00:00)
root pts/0 95-24-55-157.bro Sun Nov 9 18:43 - 20:22 (01:38)
root pts/0 95-24-55-157.bro Fri Nov 7 23:22 - 18:25 (1+19:03)
root pts/0 95-24-55-157.bro Thu Nov 6 21:11 - 23:25 (02:13)
root pts/1 5.17.133.234 Thu Nov 6 01:06 - 01:42 (00:35)
root pts/0 5.17.133.234 Wed Nov 5 22:13 - 03:06 (04:52)
root pts/0 5.17.133.234 Wed Nov 5 21:58 - 22:05 (00:06)
root pts/1 5.17.133.234 Wed Nov 5 01:51 - 18:48 (16:57)
mgrtest ftpd12168 62.109.21.176 Tue Nov 4 19:44 - 19:44 (00:00)
root pts/0 5.17.133.234 Tue Nov 4 18:58 - 03:31 (08:33)
reboot system boot 2.6.32-042stab09 Tue Nov 4 18:55 - 00:39 (6+05:44)
Smalesh
В Черном списке
Join Date: Oct 2006
Награды в конкурсах:
Posts: 3,055
Версия vB: 3.8.7
Пол:
Reputation:
Мастер 3982
Репутация в разделе: 166
0
Quote:
Originally Posted by SilviaBlondy
он прислал логи, но они не полные
Это не логи, это выхлоп команды last. А скомпрометировать сервер могли изнутри, затем подняв привелегии до рута. Дальше сброс паролей и все, сервер "сменил" владельца.
Логи - это как минимум заархивированная папочка /var/log
Luvilla
Гость
Posts: n/a
Quote:
Originally Posted by Smalesh
Только причем тут ветка 3.8 - ума не приложу.
исправлено
cyberdaemon
Эксперт
Join Date: Apr 2009
Location: C:\NUL\
Награды в конкурсах:
Posts: 1,519
Версия vB: 3.8.x
Пол:
Reputation:
Professional 1062
Репутация в разделе: 62
1
Quote:
Originally Posted by SilviaBlondy
Что делать не знаем, восстанавливали из Backup. Все равно ломают.
Бэкап антивирусом проходили?
Quote:
Originally Posted by SilviaBlondy
Даже на новой и чистой ОС ломают.
Все компы с которых логинитесь под рутом так же антивирусом пройдены?
Взлом сервера.
