Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Czy kto

https://www.debian.pl/viewtopic.php?t=11292

Strona 1 z 1

Czy ktoś korzystał z mojego konta root?

: 04 stycznia 2009, 14:07
autor: blaher
Uruchamiam konto roota, przeglądam logowanie z innego IP i wykonane komendy

Kod: Zaznacz cały

apt-get install php4-mysql
aptitude install phpmyadmin
apt-get install phpmyadmin
change apache2 configuration according to
/etc/init.d/apache2 restart
apt-get install phpmyadmin
/etc/init.d/apache2 restart
ln -s /usr/share/phpmyadmin  /var/www/phpmyadmin
mysql
mysql -u root
/etc/init.d/apache2 restart
rcmysql start
/etc/init.d/mysql start
/etc/init.d/mysql stop
/etc/init.d/mysql start
mysql
Czy jest możliwe, że ktoś po prostu korzystał z phpmyadmin i to on wykonal sam komendy? Czy logowanie na phpmyadmin jest widziane jako ostatnie logowanie na roota?

[ Dodano: 2009-01-05, 14:10 ]
??

: 05 stycznia 2009, 15:48
autor: Utumno
przegladam logowanie z innego IP
?
tzn. w pliku /var/log/auth.log wykryles, ze ktos sie zalogowal na konto roota z innego, nieznanego tobie, IP?
i wykonane komendy
tzn. mamy rozumiec, ze ta liste komend wziales z /root/.bash_history i jestes pewnien, ze sam ich nie wpisywales?

: 05 stycznia 2009, 16:18
autor: blaher
To, ze sie ktos logowal z innego ip to zobaczylem przy logowaniu na serwer. Pokazuje tam z jakiego ip sie ostatnio logowano. Ja tych komend nie wykonywalem. Ktos mi wmawia ze to phpmyadmin sam.

: 06 stycznia 2009, 22:20
autor: Whistler_QD

Kod: Zaznacz cały

aptitude install phpmyadmin
apt-get install phpmyadmin
Jak mógł się sam zainstalować?

: 06 stycznia 2009, 23:20
autor: lis6502
No dobra, coś tu śmierdzi. Ale właściwie do czego zmierzasz? Masz ip kolesia i godzinę o której się połączył (/var/log/auth.log). Co zamierzasz dalej z tym zrobić?
No dobra, coś tu śmierdzi. Albo kogoś prosiłeś o instalację czegoś i zapomniałeś o tym. Zmień hasło na roota na jakieś porządne (polecam apg- do znalezienia w repo) i podnieś port ssh na jakiś nietypowy.

: 06 stycznia 2009, 23:47
autor: thalcave
I skonfiguruj sshd tak, by nie było możności zalogowania się na konto roota.

: 07 stycznia 2009, 10:11
autor: JarekMk
thalcave pisze:I skonfiguruj sshd tak, by nie było możności zalogowania się na konto roota.
Czemu? Ja to lubię...

Lepiej zmienić port SSHD + 128 bitowe hasło :)

: 07 stycznia 2009, 10:30
autor: lis6502
Jak już o hasłach mowa, to widziałem gdzieś skrypt, który przy którymś tam nieudanym logowaniu z $IP robi tcpkill $IP przez minutkę czy dwie. I to byłoby chyba pierwsze, czym zainteresowałbym się po zauważeniu takich śladów.

: 07 stycznia 2009, 16:31
autor: markossx
Lepiej zmienić port SSHD + 128 bitowe hasło :)
A jeszcze lepiej używać kluczy.

: 07 stycznia 2009, 17:45
autor: jakwak
Jak już o hasłach mowa, to widziałem gdzieś skrypt, który przy którymś tam nieudanym logowaniu z $IP robi tcpkill $IP przez minutkę czy dwie. I to byłoby chyba pierwsze, czym zainteresowałbym się po zauważeniu takich śladów.
W repozytoriach Debiana jest coś takiego jak fail2ban. Działa z kilkoma usługami, nie tylko sshd.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl