Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam.
Może to zabrzmi smiesznie ale ktoś mi sie włamał do systemu (mowa o Debianie) . Przedstawie krok po kroku co rbiłem nie wiem czy te wszystie czynności maja związek z tym co sie stało ale ja w tych sprawach jestem dopiero początkujący.
Zacęło sie od tego że ktoś z gg (obcy numer) przyslał mi plik z rozszerzeniem ".exe". Gdybym siediał pod windą nawet bym tego nie dopalał,ale że myśle se: jestem na debianie to jestem kozak i wszystko mam w dupie :D. Plik sciagnalem , uruchomilem przez wine ze zwyklego usera i sie nie uruchomiło wypluł bład przy dowoływaniu sie do "c:/windows/...../Cookies". uruchomiłem z poziomu Roota żadnego błedu nie było ale tez nie było żadnego wyniku. Olałem to i zabrałem sie dalej za robienie zadań z matmy. W pewnym momeńcie zauwazyłem takie o to okienko "administration chat" i ktos do mnie tam coś pisał (screena dam ponizej, niestety w lipnej jakości bo na szybkiego szukałem programu do screenów) i okenko z komunikatem "serwer gg uległ rozłączeniu, aby ponownie sie połączyć wprowadź swój numer i hasło" - to odrazu wiedziałem że KeyLogger ale nie wiem skąd się wziąl i wylączyłem go odrazu.
tutaj zamieszczam screena:
[url]http://img32.imageshack.us/my.php?image=scr29wi.jpg[/url]
po wymienaie słów i "ku..ów" :D powiedział mi że jest prawodopodbnie ode mnie z sieci i na pytanie czy złamał moje hasło roota powiedział "możliwe...."
i teraz mam pytanie czy to wszystko przez to że plik ".exe" uruchomiłem z poziomu roota przez wine czy porpostu jakoś sie tam włamał i czy mozna przejżeć jakies logi kto łączył sie z komputerm (może bedzie podane jego wew ip to bede wiedział kto to)
prosze o pomoc, z góry THX za odpowiedź
(aha sory że temat umieściłem tutaj al enie wiedziałem na która to tablice pasuje)
Offline
Nie muisz przepraszac gdzie umieszczasz temat co do logow o ile intruz ich nie wykasowla daj polecenie
last|less
bedzieszwidzial kto sie laczyl do ciebie po ssh
co do programu to watpie ze ten programo otworzyl jakies sketty ae wszystko jest mozliwe, no jeszcze mnie interesuje to okienko ktore Ci siep oawilo no nie wiem co to jest....
co do zabespieczen o ile nie uruchamiasz zadnuc serverow uslug wes zablokuj dostep z zewnatrz dla towjego IP
iptables -A INPUT -d towje_ip -j DROP
Offline
polecenie "last" nie ukazało żeby ktoś przez Sh sie ze mna łączył. Gość sie przyznał że to przez program który mi wyslał on głównie słuzyl jako KeyLogger do gg. Ten gośc sam dużo nie wiedział co i jak ścignąl pewnie z jakieś stronki trojana i nawet nie wiedzia że linuxa używam, ale jedno co mnie zdziwiło ze jak ten plik uruchomiłem przez wine z poziomu roota to mógł do mnie pisać. I mam takie pytanie: Czy trojanami pod windowsa uruchomionymi przez Wine można coś namieszać w systemie, ukraść hasła itp. ??
Offline
http://forum.dug.net.pl/viewtopic.php?t=2035
Tez mnie ten temat interesował ale jak widać bez własnej ostrożnoci to i linux nie będzie bezpieczny.
Offline
Time (s) | Query |
---|---|
0.00013 | SET CHARSET latin2 |
0.00006 | SET NAMES latin2 |
0.00140 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.142.136.210' WHERE u.id=1 |
0.00095 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.142.136.210', 1732753389) |
0.00073 | SELECT * FROM punbb_online WHERE logged<1732753089 |
0.00103 | DELETE FROM punbb_online WHERE ident='3.143.23.38' |
0.00086 | SELECT topic_id FROM punbb_posts WHERE id=17641 |
0.00122 | SELECT id FROM punbb_posts WHERE topic_id=2183 ORDER BY posted |
0.00056 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=2183 AND t.moved_to IS NULL |
0.00007 | SELECT search_for, replace_with FROM punbb_censoring |
0.00072 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=2183 ORDER BY p.id LIMIT 0,25 |
0.00071 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=2183 |
Total query time: 0.00844 s |