Итак, все началось одним прекрасным утром, когда я получил от моего провайдера письмо, которое гласило приблизительно следующее: "Нам поступила жалоба от гражданина солнечной Флориды Боба, что с вашего IP адреса 1.1.1.1 (адреса все изменены) было произведено сканирование его сервера 2.2.2.2. Разберитесь и прекратите это безобразие, а то отключим".
Первым делом я позвонил админу провайдера, который решил меня успокоить.
На месте монитор встретил меня родным "Линух Login:", однако на привычное root, password, мне было написано "Фиг Вам". Т.е. пароль не тот. В общем, не пустил меня комп к себе ни под одним моим логином! Теперь мне стало понятно, что это ж-ж-ж было не спроста, и что мне предстоит восстанавливать сервак, на который для начала нужно попасть.
Как попасть на комп, если он не пущает, я описывать не буду, т.к. тема взлома Линуха при возможности физического доступа к компу выходит за рамки данной статьи. Скажу только, что для этого надо 2 минуты времени и правильная дискета.
Итак, я снова на сервере, и снова root. Что я вижу! Passwd девственен! Там, естессно, есть root, но пароль у него не мой! Ладно, достаем Бэкап, восстанавливаем конфигурацию, и сразу же меняем все пароли. Благо их не так уж и много. Смотрим логи... Досадно, умный хакер старательно стер все следы своего пребывания. Ладно. Все же интересно, как он сюда попал. Раз уж в логах ничего нет, смотрим, что же предоставляет мой сервер пользователям. Для этого есть куча сканеров. Мне понравился Xspider. Смотрю, что показывает сканер.
80 порт - ну это понятно.
25, 110 - тоже понятно.
113 - auth
79 -
Finger. Если на него обратиться, то сервер с радостью сообщает, кто залогинен.
Видимо, специально для хакеров придумано, чтобы им сподручней было узнать, на
месте ли админ.
513 - rsh Удаленный доступ
514 - rlogin Удаленный
доступ
515 - printer
49999 - ???
ну, 79, 513, 514, 515 - стандартные сервисы Линуха. Я, когда ставил сервак, забыл их выключить (вот главная моя ошибка!). Немедленно выключаю.
А что такое 49999? Коннекчусь туда. Отвечает - SSH! Блин, а этого я не ставил! Тоже убиваю. Снова сканирую на всяк случай. Теперь сканер находит только 80, 25, 110 и 113. Ну эти пусть будут.
Итак, из того, что мы нашли, методом дедукции можно предположить, что через заботливо оставленные мной 513 и 514 порты хакер попал на сервер, нашел рутовый пароль, поставил SSH, а дальше резвился как хотел. И в основном его резвление было направлено на сервера того самого Боба из Флориды.
Ладно, последствия хака устранены, возможность проникнуть снова тоже. Однако мне стало интересно, кто же это был. Теперь я стал более детально просматривать логи. И как не странно, нашел самый первый логин этого взломщика.
|
Aug 12 |
13:34:13 |
Линух |
in.finger[20131]: |
connect from 3.3.3.3 |
|
Aug 12 |
13:34:45 |
Линух |
in.rlogind[20135]: |
connect from 3.3.3.3 |
|
Aug 12 |
13:35:14 |
Линух |
in.rshd[20137] : |
connect from 3.3.3.3 |
Видимо, он его забыл удалить. Самое интересное оказалось, что провайдером этого IP (Dialup кстати) является провайдер уже известного нам Боба! Далее эта инфа была переслана Бобу, и уже службы солнечной флориды занялись дальнейшей судьбой ломавшего. Что там будет, я не знаю, однако у них законы о хакерстве работают гораздо лучше, чем у нас...
Итак резюме. Что из этого можно почерпнуть?
Для админов: После того как поставили сервак, посмотрите, что у вас получилось, какие сервисы запущены, и нужны ли они вам. И храните Бэкап настроек. Очень помогает. Ну а если на вас жалуются, то к этому стоит относиться гораздо серьезней, чем это выглядит.
Для хакеров: Уж если вы решили завладеть доступом на чужой комп, а с него ломануть какой-нить Microsoft :-), то стирайте логи за собой тщательнее! И не стоит изменять рутовые пароли, да и вообще любые настройки - чем меньше вы оставляете следов, тем меньше шанс