Форум Сайтостроение Безопасность

В Сети зафиксирован массовый взлом серверов на базе Linux

1 2345678 9
K
На сайте с 05.07.2011
Offline
60
kDas
#31
voooz:
На опеннете пишут что и дебиан тоже уже.

Ну приехали. :)

M
На сайте с 24.10.2011
Offline
173
michaek
#32
voooz:
На опеннете пишут что и дебиан тоже уже.

шайтан. куда податься-то? gentoo?

ENELIS
На сайте с 29.08.2008
Offline
194
ENELIS
#33

FreeBSD :) !?

С Уважением, ServerAstra.ru (https://serverastra.com) - VPS и выделенные сервера в Будапеште по выгодным ценам!
K
На сайте с 05.07.2011
Offline
60
kDas
#34
ENELIS:
FreeBSD :) !?

Таки не под все приложения подойдет. А веб-хостинг то да, оно хорошо. Умирает, жалко, операционка. :(

root.serverside.ru
На сайте с 25.02.2010
Offline
98
root.serverside.ru
#35
ENELIS:
FreeBSD :) !?

Была бы популярной, ломали бы так же

ENELIS
На сайте с 29.08.2008
Offline
194
ENELIS
#36
root.serverside.ru:
Была бы популярной, ломали бы так же

Проблема не в популярности.

А в постоянных on the edge или наоборот как с centos или debian - in the back.

Взломы кстати похожи на давнешний 0-day freebsd (который закрыли день в день).

Не помню точного security bulletin.

---------- Добавлено 21.02.2013 в 00:48 ----------

kDas:
Таки не под все приложения подойдет. А веб-хостинг то да, оно хорошо. Умирает, жалко, операционка. :(

Только под zend guard не подойдет...

Cityads.ru - партнёрская программа Fastvps.ru - Благодарности! / установка zend на freebsd
LineHost
На сайте с 20.01.2007
Offline
339
LineHost
#37
dyakoff:
А кто-то еще по паролю ходит на сервер 😮 ?

Я все сервера и клиентские тоже на ключи сетаплю. Это обязательно и безоговорочно. + смена 22

Использование ключа не гарантирует безопасность, просто это удобно, особенно для входа на сервер клиента. Я по паролю хожу в том случае, когда сервером пользуюсь только сам, и обязательно на 22 порту. И дальше буду ходить только так ;)

Есть туча способов, как зашитить ssh от входа тех, кому это не надо. Увести ключь, особенно с винды, для умельца не составит труда, но увести пароль, который только у меня в голове на много сложнее ;) С другой стороны, и ломать нечего, так как просто нет ssh сервиса снаружи...

Даже если и оставлять доступ снаружи, подобрать пароль практически просто невозможно. А дыра в механизме авторизации по ключу появится может в любой момент, зеванул програмист, на тебе.... Теория вероятности глосит "чем больше в системе составных элементов, тем выше вероятность выхода из строя всей системы" ;)

В общем все способы авторизации хороши, только надо грамотно их применять и иметь в виду что баги неизбежны. Любой способ авторизации плюс ограничение доступа по IP делает систему достаточно надёжной. Установка такого сервиса на IP типа 192.168.*.* гарантирует достаточно спокойный сон. Грамотное применение chattr +i делает систему ещё меньше уязвимой.

SERV.LT - Стабильные услуги хостинга, KVM VPS в Литве, Франции. (https://www.serv.lt/ru/vps/kvm/) Недорогие выделенные серверы (https://www.serv.lt/ru/dedicated-lt/) в Литве.
Бесплатная биометрическая авторизация для Будьте внимательны, безработные взломщики ContactRoot: свяжитесь с нашим
Andron_buton
На сайте с 19.07.2007
Offline
270
Andron_buton
#38

"Steven - sorry for being unclear. I didn't mean to imply the initial attack was from ssh; what I meant was that an iptables block on ssh stopped them reconnecting, exactly as you've seen.

Is the following consistent with what you've seen?

1. User account compromised at PHP level

2. Compromised account used to hack root and backdoor sshd via libkeyutils

3. Spam sent

The question being, how is the #2 root hack being done, #1 could be through any vulnerable site CMS etc.

"

http://www.webhostingtalk.com/showthread.php?t=1235797

Хакнули сайт, что делать Стоп слова. Массовый взлом сайтов на
K
На сайте с 05.07.2011
Offline
60
kDas
#39

Andron_buton, ну тогда, получается, ничего нового же. :)

root.serverside.ru
На сайте с 25.02.2010
Offline
98
root.serverside.ru
#40
Andron_buton:
"Steven - sorry for being unclear. I didn't mean to imply the initial attack was from ssh; what I meant was that an iptables block on ssh stopped them reconnecting, exactly as you've seen.
Is the following consistent with what you've seen?

1. User account compromised at PHP level
2. Compromised account used to hack root and backdoor sshd via libkeyutils
3. Spam sent

The question being, how is the #2 root hack being done, #1 could be through any vulnerable site CMS etc.
"
http://www.webhostingtalk.com/showthread.php?t=1235797

не катит такой вариант, на том сервере где обнаружили этот либ стоит cloudlinux и cagefs. эскалация прав юзера из cagefs до root исключена. все же больше похоже что ломали именно локалхосты тех кто имеет доступ root к цели

Хостинг с разделением пользователей ISPmanager 5 + CloudLinux, Вопрос к хостерам, использующим
1 2345678 9

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий