同僚との会話の本当のログ-私は請求書や訂正なしで引用します。
[13:22:33] Admin1:興味深い話-トロイの木馬のような生きているものを見つけました
[13:22:36] Admin1:Linuxで
[13:22:49]管理者1:長い間どこにいたのか
[13:23:07] Admin1:何も検出されません
[13:23:16] Admin1:クライアントがトラフィックリークについて苦情を言いました
[13:23:24] Admin2:おっと
[13:23:27] Admin2:教えて!
[13:24:20] Admin1:一般的には、真ん中から始めます
[13:24:47] Admin1:クライアントには3台のコンピューターがあり、すべてがwifi経由で接続されています
[13:24:57] Admin1:+ WiFiポイントとADSLモデム
[13:25:21] Admin1:(すべてのパスワードを変更した後)誰かが今でも壊れ続ける
[13:25:29] Admin1:モデムにも
[13:26:03] Admin1:しかし、結果はすでにあります:)
[13:26:49] Admin1:コンピューターには/etc/trail/.ssh/./.../ディレクトリがあります
[13:27:02] Admin1:興味深いファイルがいくつかあります:)
[13:27:19] Admin2:うーん...どうやってそこにたどり着くことができたのですか? ルートなし?
[13:27:21] Admin1:IRCボットに非常に似ています
[13:27:25] Admin1:ルート付き
[13:27:46] Admin1:そこにはrootパスワードが簡単で、sshではrootが許可されていました!!!
[13:27:55] Admin2:クリア
[13:27:57] Admin2::)
[13:28:46] Admin1:トロイの木馬(またはそれが何であれ)は、数日前(コンピューターが届く前)に最近動作を停止しました
[13:29:05] Admin1:次の更新後、
[13:29:06] Admin2:インサイダーはまだ働いていたと思う:)
[13:29:14] Admin1:100%ではありません
[13:29:14] Admin2:軸は何ですか?
[13:29:29] Admin1:debian seed
[13:29:40] Admin2:非常に奇妙です
[13:29:52] Admin2:もう一度、SSHの下でルートを閉じる必要があることを証明します。
[13:29:58] Admin2:そして、彼をルートと呼ぶ必要はまったくありません!
[13:30:02]管理者1:まあ、言うまでもない
[13:30:10] Admin1:はい、違いは何ですか
[13:30:18] Admin1:主なことは、ssh経由でログインしないことです
[13:31:51] Admin1:トロイの木馬はチューブに当たり、3月28日のように見えます。これはディレクトリの日付であり、その日付より前にログはすべて消去されます。
[13:32:02] Admin2:いまいましい
[13:32:05] Admin2:スマートがらくた
[13:32:08] Admin2:彼は何をしましたか?
[13:32:12] Admin2:ボットネットを準備しましたか? :)
[13:32:18] Admin1:そのような
[13:32:36] Admin1:オリジナルのもの
[13:32:38] Admin2:ぼろぼろの名前の会話をHabrに置くことはできますか?
[13:32:53] Admin1:rkhunterは彼を知らない、chkrootkitも
[13:33:04] Admin1:はい、できます
[13:33:08] Admin2:ありがとう:)
[13:33:26] Admin1:通常、トロイの木馬を完全に特定できませんでした
[13:33:31] Admin1:しかし!!!
[13:33:48] Admin1:昨日、インターネット上の1人が同様の記事を書きました
[13:33:58] Admin1:そしてdebianにあります
[13:34:03] Admin2:shevelizzoは次のようになります:)
[13:34:21] Admin2:スクリプトを保存しましたか?
[13:34:21] Admin1:状況は少し異なりますが
[13:34:27] Admin1:すべてがそこにあります
[13:34:32] Admin1:すべてを保存しました
[13:34:40] Admin2:Debian.orgに送信できます
[13:34:55] Admin1:こすれないように外部ログを設定し、待ちます
[13:34:59] Admin1:誰でも来られますか:)
[13:35:03] Admin2::)
[13:35:08] Admin2:熊手で待っていますか? ;)
[13:36:24] Admin1:愚かな、虫眼鏡とヘッドフォンで:)
[13:36:29] Admin2::)
[13:36:39] Admin1:そしてそれがどうなるか:)
[13:36:48]管理者1:おそらく核兵器を使用することは可能でしょう:)
[13:37:56] Admin1:有能な人のレポートを何とか読んだ-彼はボットネットコードをわずかに修正し(クライアントからも見つけた)-所有者にルートキットを貼り付けた:)
まあ、実際にはすべてがトランスクリプトにあります。 そのような単純な真実について、すでにいくつのコピーが壊れていますか? それでも、SSHを閉じることは妄想などであると言う人がいます。 近くで激しく動いていない限り、自分自身を横切ることはありません。 もう一度、私はすべての人に簡単な考えを伝えたいと思います:あまり保護はありません。 特に、あなたの情報がどれだけの価値があるかを知っているなら!
ルートにSSHをまだ許可していますか? それから私たちはあなたに行きます!
All Articles