attack / procesy / zapchany upload

Te, które nie mieszczą się w powyższych kategoriach, a mają coś wspólnego ze Slackware.

Moderatorzy: Moderatorzy, Administratorzy

kazmirz
Użytkownik
Posty: 3
Rejestracja: 2007-12-09, 14:04
Lokalizacja: leszno
Kontakt:

attack / procesy / zapchany upload

Post autor: kazmirz » 2007-12-09, 14:08

Witam serdecznie..

mam pewien problem.od paru dni..niewiem co sie dzieje..albo ktos mnie DDOS..

po wpisaniu ps aux pojawiaja sie procesy .

mam nobody i jest kilkaset procesow z ./atttack 100 cos takiego..

zapycha mi caly upload..jak sie tego pozbyc ..? zlokalizowac.

help..

po resecie serwera...jest ok przez jakis czas...

[ Komentarz dodany przez: Zielony: 2007-12-09, 17:38 ]
Daruj sobie ozdobniki w temacie.
Ostatnio zmieniony 2007-12-09, 17:37 przez kazmirz, łącznie zmieniany 1 raz.

Awatar użytkownika
Radek_R
Moderator
Posty: 1196
Rejestracja: 2004-06-14, 11:40
Lokalizacja: Kraków
Kontakt:

Re: attack / procesy / zapchany upload

Post autor: Radek_R » 2007-12-09, 14:44

To chyba nie Ciebie DDOSują, tylko Ty kogoś :)
#358274
http://www.prook.net

maho
Użytkownik
Posty: 455
Rejestracja: 2006-03-25, 12:28
Lokalizacja: Kielcowo

Re: attack / procesy / zapchany upload

Post autor: maho » 2007-12-09, 15:01

poszukaj tego pliku u siebie na dysku :P

Awatar użytkownika
Sad Mephisto
Administrator
Posty: 2824
Rejestracja: 2004-05-22, 13:24
Lokalizacja: Zabrze
Kontakt:

Re: attack / procesy / zapchany upload

Post autor: Sad Mephisto » 2007-12-09, 15:05

A za pomocą polecenia "last" sprawdź, kto skąd się logował.
[i]Thank you for noticing this notice. Now that you've noticed this notice, you may have noticed that this notice is noticably unnoticable.
$ python -c "print int(''.join(map(lambda x: str(len(x)),'Kto z woli i myśli zapragnie Pi spisać cyfry ten zdoła.'.split())))/1e+10"[/i]

Awatar użytkownika
argon
Użytkownik
Posty: 240
Rejestracja: 2004-09-29, 00:49
Lokalizacja: Węgorzewo
Kontakt:

Re: attack / procesy / zapchany upload

Post autor: argon » 2007-12-09, 19:54

Zapewne "Panowie Rosjaniny" zrobili Zombie z maszyny... proponuję przeinstalować system, a stary zostawić do analiz, albo zainteresować się chkrootkit
No RISC, no fun!

Awatar użytkownika
Corvin
Administrator
Posty: 1143
Rejestracja: 2004-05-21, 15:04
Lokalizacja: Gdańsk

Re: attack / procesy / zapchany upload

Post autor: Corvin » 2007-12-09, 20:35

ja bym znalazl proces rodzica poleceniem ps -Af i zabił go, później odłączył ssh i zaczął myśleć co zrobiłeś źle, rodzica procesu attack
Ostatnio zmieniony 2007-12-09, 20:36 przez Corvin, łącznie zmieniany 1 raz.
"Spróbuj zapalić maleńką świeczkę zamiast przeklinać ciemność."
Konfucjusz

kazmirz
Użytkownik
Posty: 3
Rejestracja: 2007-12-09, 14:04
Lokalizacja: leszno
Kontakt:

Re: attack / procesy / zapchany upload

Post autor: kazmirz » 2007-12-09, 23:34

generalnie poszukalem pare spraw w google... wklepalem tak..

Kod: Zaznacz cały

# ps auxw | grep ^nobody | awk {'print $2'} | xargs kill
jak narazie spokoj.
genralnie siedzialem na debianie caly czas..i slaxa + lms mam..pod siec.

jak cos podzialam i dam znac.

dziekuje za pomoc.

[ Dodano: 2007-12-09, 23:37 ]
jak bys zgadl.ruski..po last mam ipki z ktorych bylo wlamanie na konto test na serwerze..
test pts/2 87.118.212.90 Sat Dec 1 17:02 - 17:02 (00:00)
test pts/2 87.118.212.90 Sat Dec 1 17:01 - 17:01 (00:00)
test pts/2 87.118.212.90 Sat Dec 1 17:00 - 17:00 (00:00)
test pts/2 87.118.212.90 Sat Dec 1 17:00 - 17:00 (00:00)
test pts/2 83.16.94.18 Sat Dec 1 16:39 - 16:39 (00:00)
test pts/2 83.16.94.18 Sat Dec 1 16:39 - 16:39 (00:00)

test pts/0 brick.nive.hu Sun Dec 2 18:06 - 18:06 (00:00)
test pts/0 brick.nive.hu Sun Dec 2 18:05 - 18:05 (00:00)

test ftpd14771 151.83.22.216 Mon Dec 3 19:05 - 19:23 (00:18)
itd

[ Komentarz dodany przez: Zielony: 2007-12-10, 19:15 ]
Code i Quote!
Ostatnio zmieniony 2007-12-10, 19:14 przez kazmirz, łącznie zmieniany 1 raz.

Awatar użytkownika
Lizard
Moderator
Posty: 2583
Rejestracja: 2005-05-21, 15:48
Lokalizacja: miasto w mieście

Re: attack / procesy / zapchany upload

Post autor: Lizard » 2007-12-10, 00:05

kazmirz pisze:po last mam ipki z ktorych bylo wlamanie na konto test na serwerze
test, root, admin, ftp, staff - to są najczęściej wykorzystywane nazwy użytkowników przy poszukiwaniu kont bez haseł.

Podstawowe zabezpieczenie ssh w pliku /etc/ssh/sshd_config to opcja AllowUsers lub AllowGroups. Dodatkowo: PermitEmptyPasswords, PasswordAuthentication i klucze zamiast haseł. Zmiana portu, na którym nasłuchuje ssh.

Jako zabezpieczenie przed nie porządanymi gośćmi używam Fail2ban (paczka dla Slackware).
Error 404 - footer not found

kazmirz
Użytkownik
Posty: 3
Rejestracja: 2007-12-09, 14:04
Lokalizacja: leszno
Kontakt:

Re: attack / procesy / zapchany upload

Post autor: kazmirz » 2007-12-10, 18:21

panowie czy moge usunac konto test?

jak sie usuwa pod slackware konto ? del test?

z etc/passwd wyrzucilem wpisy do test..

dzis last to koles logowal sie na konto test..trzeba go wyrzucic.

Awatar użytkownika
slackman
Użytkownik
Posty: 77
Rejestracja: 2006-12-06, 18:28

Re: attack / procesy / zapchany upload

Post autor: slackman » 2007-12-10, 18:23

polecenie userdel, albo ręcznie z passwd, group i /home
Ostatnio zmieniony 2007-12-10, 18:26 przez slackman, łącznie zmieniany 1 raz.

ODPOWIEDZ