Меню
Что нового?

Какой тип атаки и как с ним бороться

зверек

Новичок
uname -a (набрать в шеле)
Нажмите для раскрытия...
Linux l2.in-solve.ru 2.6.24-1gb-1 #1 SMP Fri Mar 14 16:25:58 MSK 2008 x86_64 Intel(R) Xeon(R) CPU E5345 @ 2.33GHz GenuineIntel GNU/Linux

результат выполнения "last | grep
Нажмите для раскрытия...
mylogin pts/16 92.43.164.195 Thu Oct 9 15:48 still logged in
mylogin pts/17 92.43.164.195 Wed Oct 8 11:04 - 17:48 (06:43)
mylogin pts/17 92.43.164.195 Tue Oct 7 14:40 - 11:02 (20:22)
mylogin pts/17 cannabis.datafor Tue Oct 7 11:36 - 11:36 (00:00)
 
Активист

Активист

Активист
Команда форума
Ты же сказала, что заходите вы только из офиса? Правильно?
А это что?

Код: 
mylogin pts/17 92.43.164.195 Tue Oct 7 14:40 - 11:02 (20:22)
mylogin pts/17 cannabis.datafor Tue Oct 7 11:36 - 11:36 (00:00)
Вот это я как понимаю, Ваш офис
92.43.164.195

А вот это что?
cannabis.datafor - это не Ваш офис. Судя по времени соединения - меньше минуты - это робот однако :)

Хост не влез - нужно провторить опирацию
"Пусть сделают в тех поддержке last -a | grep mylogin_vasya и отправят результа, поскольку не влез хост"

Набери в шеле комманду history и покажи, что вывело.
Пусть отправят информацию с первого октября (а не с седьмого).
 

зверек

Новичок
"Набери в шеле комманду history и покажи, что вывело."

там как-то очень много вылезло... сюда постить - перебор. на что-то конкретное обратить внимание?

А из техподдержки написали:
"cannabis.dataforce.net" пусть вас не смущает, это мы заходили, когда у вас были проблемы с доступом по SSH.

(проблемы действительно были и я обращалась в техподдержку)

Пр первое октября они написали:
А это и есть файлик wmtp с первого октября, они у нас как раз
в конце месяца ротируются.
 
Активист

Активист

Активист
Команда форума
Ну прямо паронормальные являения :)
По FTP не заходят, по SSH тоже, даже через Web не хакают) а файлы меняются? Ну прямо порадокс :)

Есть сто процентный вариант, по которому могут определить, что же всетаки меняет вам файлы - это использовать audit

http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

Настроить (установить) аудит (audit) и далее добавить в контроль файл, который хакают (изменяют).

После "хака", проанализировать информацию от аудита.
Там будет - точное время, процесс, права пользователя, комманда и т.п.

Для выполнения этих действий нужны права супер пользователя, поэтому обратитесь в тех поддержке, конечно, за определенную плату они сделают. МОжете дать ссылку на это обсуждение и это сообщение.

Да, hisptory нужно запостить сюда: http://phpclub.ru/paste
 
Войдите или зарегистрируйтесь для ответа.
Сверху