Взлом 24-HOSTER Solutions

Уважаемый, ArtemZ,собираетесь ли Вы отвечать? )

Тема на 5 листов, а Вашего ответа, я ещё не увидел...

А зачем что-то искать?)

У вас же какой-то скрипт будет запускаться и тянуть данные. Этот вот скрипт можно и найти :)

Дело заключается в том, что для начала вам надо проломить 1 сервер который смотрит в наружу , а потом с него проломить парольник, который не то что бы в read\only.... а в мега-readonly (советую ознакомится с kern.securelevel) и при этом как бы админ не должен заметить, что проломали первый сервер.... ;)))

Я не сказал что это идеальное решение ... бля бля бля, сломать можно и пентагон и сайт белого дома и что угодно в принципе, другой вопрос что для этого надо знать \ уметь \ проделать...

И вот тут я смело могу заверить вас, что описанная схема выглядит в 100 раз безопаснее нежели схема когда у вас открыт рут в наружу на публичном ИП....

P.S: Большинство проблем как обычно от неопытности тех кто настраивает сервера, давиче общался с одним америкосом по фрилансу, дает он мне пароль от тачки и я тихо ахуеваю:

IP тачки: xxx.xxx.123.123

Пароль: box123.123

А еще расскажу смешную историю, когда в датацентре сетапиш новый сервер через какой нить КВМ или IMPI конечно же ставишь пароль какой-то типа 123456 понимая , что пока не настроил сеть это не важно.... так вот было у меня пара случаев когда я не успев закончить настройку сервера (но уже подняв сеть) с изумлением понимал что уже какая-то мего редиска пробутфорсила мой мега-пароль и уже сидит на сервере :))))) Так что не спят боты и не спят хакеры, надо быть внимательным :)

Romka_Kharkov добавил 21.08.2010 в 13:51

Лол, хотите я шас напишу такие же логи только с вашим ником, вы тоже будете отвечать в теме?

Хостер лохонулся, и под шум волны решил видимо еще ПР провести на тему себя любимого....

Я думаю что ArtemZ не будет отвечать в этой теме из соображений отсутствия интереса к ней :))))

Ну факт в том, что я знаю, что хостер ничего не делал, потому что смотрел лично я. С хостером этим я не работаю, только сегодня провёл аудит по его просьбе.

Да и здесь не логи с ником, а действующие ключи ssh + входы с прокси, которым ArtemZ пользуется, о чём свидетельствуют посты на форуме.

Плюс в ключе указан его логин и название компьютера (по другим постам видно, что это соответствует действительности) и с таким ключом он заходит и на другие сервера.

Если здесь есть его клиенты, то могут сравнить свой ключ в /root/.ssh/authorized_keys (ну или там юзер не рут может быть) с тем, который я нашёл у ТС.

А интерес у ArtemZ есть, т.к. он очень уж часто заходит в тему :)

Я был свидетелем как Alighieri обвинял одного из своих клиенотв во взломе.

Так вот там он привел более полную историю комманд, где посде удаления /var/www

было редактирование: /var/log/secure, всех файлов ключей, самой истории команд и много еще чего...

100% клон, имхо😂

ArtemZ оффлайн, тут же ник с сегодняшней регистрацией онлайн.

Для непонятливых повторюсь, аудит проводил я. Могу сказать, что сам Alighieri свои сервера не администрирует и знаний вряд ли хватит для фальсификаций. Даже ключ ssh без меня никто глянуть не догадался.

ArtemZ ?

Или регистрация специально ради этого поста?

Полезная информация только та, что есть какой то АртёмЗ, который похож на взломщика. Больше полезной и правдивой информации нет. Сам хостёр лоханулся и теперь хочет по детски оправдатся.

По сути, детские войны и всё....

Очень много чем похож, правда. (ip-адрес, название компьютера и юзер, ключ ssh такой же).

Ну и т.д. и т.п.