Strona 1 z 1

attack / procesy / zapchany upload

: 2007-12-09, 14:08
autor: kazmirz
Witam serdecznie..

mam pewien problem.od paru dni..niewiem co sie dzieje..albo ktos mnie DDOS..

po wpisaniu ps aux pojawiaja sie procesy .

mam nobody i jest kilkaset procesow z ./atttack 100 cos takiego..

zapycha mi caly upload..jak sie tego pozbyc ..? zlokalizowac.

help..

po resecie serwera...jest ok przez jakis czas...

[ Komentarz dodany przez: Zielony: 2007-12-09, 17:38 ]
Daruj sobie ozdobniki w temacie.

Re: attack / procesy / zapchany upload

: 2007-12-09, 14:44
autor: Radek_R
To chyba nie Ciebie DDOSują, tylko Ty kogoś :)

Re: attack / procesy / zapchany upload

: 2007-12-09, 15:01
autor: maho
poszukaj tego pliku u siebie na dysku :P

Re: attack / procesy / zapchany upload

: 2007-12-09, 15:05
autor: Sad Mephisto
A za pomocą polecenia "last" sprawdź, kto skąd się logował.

Re: attack / procesy / zapchany upload

: 2007-12-09, 19:54
autor: argon
Zapewne "Panowie Rosjaniny" zrobili Zombie z maszyny... proponuję przeinstalować system, a stary zostawić do analiz, albo zainteresować się chkrootkit

Re: attack / procesy / zapchany upload

: 2007-12-09, 20:35
autor: Corvin
ja bym znalazl proces rodzica poleceniem ps -Af i zabił go, później odłączył ssh i zaczął myśleć co zrobiłeś źle, rodzica procesu attack

Re: attack / procesy / zapchany upload

: 2007-12-09, 23:34
autor: kazmirz
generalnie poszukalem pare spraw w google... wklepalem tak..

Kod: Zaznacz cały

# ps auxw | grep ^nobody | awk {'print $2'} | xargs kill
jak narazie spokoj.
genralnie siedzialem na debianie caly czas..i slaxa + lms mam..pod siec.

jak cos podzialam i dam znac.

dziekuje za pomoc.

[ Dodano: 2007-12-09, 23:37 ]
jak bys zgadl.ruski..po last mam ipki z ktorych bylo wlamanie na konto test na serwerze..
test pts/2 87.118.212.90 Sat Dec 1 17:02 - 17:02 (00:00)
test pts/2 87.118.212.90 Sat Dec 1 17:01 - 17:01 (00:00)
test pts/2 87.118.212.90 Sat Dec 1 17:00 - 17:00 (00:00)
test pts/2 87.118.212.90 Sat Dec 1 17:00 - 17:00 (00:00)
test pts/2 83.16.94.18 Sat Dec 1 16:39 - 16:39 (00:00)
test pts/2 83.16.94.18 Sat Dec 1 16:39 - 16:39 (00:00)

test pts/0 brick.nive.hu Sun Dec 2 18:06 - 18:06 (00:00)
test pts/0 brick.nive.hu Sun Dec 2 18:05 - 18:05 (00:00)

test ftpd14771 151.83.22.216 Mon Dec 3 19:05 - 19:23 (00:18)
itd

[ Komentarz dodany przez: Zielony: 2007-12-10, 19:15 ]
Code i Quote!

Re: attack / procesy / zapchany upload

: 2007-12-10, 00:05
autor: Lizard
kazmirz pisze:po last mam ipki z ktorych bylo wlamanie na konto test na serwerze
test, root, admin, ftp, staff - to są najczęściej wykorzystywane nazwy użytkowników przy poszukiwaniu kont bez haseł.

Podstawowe zabezpieczenie ssh w pliku /etc/ssh/sshd_config to opcja AllowUsers lub AllowGroups. Dodatkowo: PermitEmptyPasswords, PasswordAuthentication i klucze zamiast haseł. Zmiana portu, na którym nasłuchuje ssh.

Jako zabezpieczenie przed nie porządanymi gośćmi używam Fail2ban (paczka dla Slackware).

Re: attack / procesy / zapchany upload

: 2007-12-10, 18:21
autor: kazmirz
panowie czy moge usunac konto test?

jak sie usuwa pod slackware konto ? del test?

z etc/passwd wyrzucilem wpisy do test..

dzis last to koles logowal sie na konto test..trzeba go wyrzucic.

Re: attack / procesy / zapchany upload

: 2007-12-10, 18:23
autor: slackman
polecenie userdel, albo ręcznie z passwd, group i /home