Взлом 24-HOSTER Solutions

Да всё фигня, Вы скажите через что он Вас сломал, просто интересно как владельцу 2-х серверов :)

Как сломали, это самое интересное. На пока я так понял это не известно.

Вариантов кражи пароля может быть много. Например.

1) брут форс SSH

2) кража пароля с рабочего компа трояном. Я так понял пароль рут был у нескольких человек.

Alighieri, а где ваш админ? почему он не произвел "аудит" сразу?

1) Вряд ли.

2) Вполне возможно. Может кто-то и "слил" пароль.

Ну и ещё вариант - взлом биллинга и т.п. Он же подключается рутом к серверу.

Не безопасно, что бы билинг подключался по паролю root.

Не ужели, сложно было для этого использовать не привилегированного пользователя?

Я так понял, что сервер админило несколько человек. И безопасность была не на высототе.

После ухода химико, они постоянного хорошего админа не нашли. Хостинг без постоянного админа - это жесть.

Да himiko не так давно и ушёл то. Хотя условия администрирования у него самые лучшие из всех что я изучал на серче.

Но так сложились обстоятельства что нам пришлось расторгнуть сотрудничество в плане администрирования на постоянной основе, но я до сих пор к нему обращаюсь по некоторым вопросам, и он всегда поможет.

Админ был один Himiko.

Я не клон, я знакомый одного уже бывшего клиента, не знаю под каким ником вы его знаете, которого тоже обвиняли во взломе.

Так он мне вчера и показывал вашу переписку - типа приколись.

...

ls /var/log

nano /var/log/secure

ls -l /var/log

ls /root/

nano /root/.bash_history

nano /roor/.bash_history

ls

cd /root/

ls -l

ls -l -a

nano .bach_logout

ls -l -a

nano .bashrc

ls -l -a

nano .bash_logout

nano .bash_logout

nano .bash_hi

nano .bash_history

...

также mc несколько раз запускался, у него своя история команд.

Я говорю о том, что логи, на которые вы ссылаетесь - правились неоднократно,

и какова вероятность того, что публичный ключ под которым вошли не был заменен перед уходом, чтоб навести на ложный след.

Вообще я ни на чьей стороне, я просто оцениваю вашу доказательную базу, которая извините меня - фуфло.

Сервер с открытым рутом да еще и под простым паролем сродни проходному двору.

Непонятно почему Himiko, раз он раньше был админом, не настроил нормальную систему авторизации.

Ведь это же элементарно:

• Рут всегда закрыт, только sudo
• Вход только по ключам

Фуфло в том, что очень уж много "совпадений" и много нужно знать о ArtemZ, чтобы вот так его подставить.

1. Ключ ssh действующий и принадлежит ему.

2. В ключе явно прописан компьютер и юзер, на котором он генерировался. По ссылке на его пост видно, что он сидит с этого же компа.

3. Человек зашёл именно с той же прокси, с которой сидит ArtemZ.

4. Было несколько заходов в разное время. Если подменить ключ ssh, то нужно зайти потом под паролем, этого не произошло. Время изменения ключа совпадает со временем, когда злоумышленник в первый раз зашёл с логином/паролем. Вывод - заходили именно через этот ключ, иначе бы просто не пустило. В логах видно, что после первого захода по паролю, все заходы были через ключ. Значит он вполне работал. Может ещё для подставы получили доступ к его компьютеру и украли private key ?

Не знаю как другие, но я в совпадения такие не верю. Да чтобы так подставить (если бы вдруг хотели), нужно столько работы провести и видимо ещё и иметь доступ физический к его компьютеру.

А как же бедные клиенты которые про SSH два слова не знают ?:))) или клиентам ССШ не нужен?:)

🍿