- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
а что странного, оупенсоурсные системы - ломали и будут ломать, в большинстве случаев это вина школьников админов
Однако в этом случае вина программистов скорее всего
оупенсоурсные системы - ломали и будут ломать
Договаривайте уже о проприетарных, чтобы был до конца понятен мотив вашего отзыва об опенсоурсе.
По ходу все же реально вирус и природа инжекта пока не известна (последний обсуждаемые вариант, что это через local компы пасы от шела уводят)
So like I said before, in a large cluster, the 8 affected machines were the only ones with ssh password auth enabled.
In 1 of the 8 machines I realized, the attacker was still trying to login from the famous OVH ip.
So I rerouted all SSH traffic from that server to other server.
There I implemented a basic Python SSH server, that just printed the SSH auth passwords to stdin
I found out that the hacker is using this password "XXXIGk2BwMq"
To the people out there that are reverse engineering the malicious .so file, I hope this string helps you.
печаль, после такого только реинстал гарантирует на 100% чистую систему - вопрос только на сколько )
прописывайте в allowed для шела временно только свои ip, пользователи потерпят
По ходу все же реально вирус и природа инжекта пока не известна (последний обсуждаемые вариант, что это через local компы пасы от шела уводят)
А вот это пост намекает, что не в этом дело:
Меня ломали по похожему сценарию - сперва появился в /tmp скрипт, который прописал в cron вызов curl, потом появился юзер vhost, который впоследствии пропал, но хакер дальше работал под рутом.
И я точно так же не понимаю, зачем было создавать новго юзера, если хакер создал изначальный скрипт от имени рута.
Кстати, у меня все произошло еще 15 января. Похоже с тех пор атаку автоматизировали.
c "Thread Summary" на webhostingtalk
Вопрос к тем у кого случилось... SSH был в этом режиме ? или только пароль ?
c "Thread Summary" на webhostingtalk
Вопрос к тем у кого случилось... SSH был в этом режиме ? или только пароль ?
А кто-то еще по паролю ходит на сервер 😮 ?
Я все сервера и клиентские тоже на ключи сетаплю. Это обязательно и безоговорочно. + смена 22
Многим клиентам это сложно понять, им проще по старинке...
Но речь сейчас не об этом, а о сборе информации по проблеме....
Возможно этот эксплоит банальное переполнение буфера в подсистеме проверки ключей и последующего входа с повышенными правами.
Смена 22 свела попытки подбора на нет. Ни одной за 2 года, до этого в день десяток айпишников ловились.
Думаете с debian подобного случиться не может?
(на моих centos вроде тишина..)
На опеннете пишут что и дебиан тоже уже.