|
|
Czy ktoś korzystał z mojego konta root?
blaher - 04-01-2009 14:07
Uruchamiam konto roota, przeglądam logowanie z innego IP i wykonane komendy
apt-get install php4-mysql
aptitude install phpmyadmin
apt-get install phpmyadmin
change apache2 configuration according to
/etc/init.d/apache2 restart
apt-get install phpmyadmin
/etc/init.d/apache2 restart
ln -s /usr/share/phpmyadmin /var/www/phpmyadmin
mysql
mysql -u root
/etc/init.d/apache2 restart
rcmysql start
/etc/init.d/mysql start
/etc/init.d/mysql stop
/etc/init.d/mysql start
mysql
Czy jest możliwe, że ktoś po prostu korzystał z phpmyadmin i to on wykonal sam komendy? Czy logowanie na phpmyadmin jest widziane jako ostatnie logowanie na roota?
[ Dodano: 2009-01-05, 14:10 ]
??
Utumno - 05-01-2009 15:48
?
tzn. w pliku /var/log/auth.log wykryles, ze ktos sie zalogowal na konto roota z innego, nieznanego tobie, IP?
tzn. mamy rozumiec, ze ta liste komend wziales z /root/.bash_history i jestes pewnien, ze sam ich nie wpisywales?
blaher - 05-01-2009 16:18
To, ze sie ktos logowal z innego ip to zobaczylem przy logowaniu na serwer. Pokazuje tam z jakiego ip sie ostatnio logowano. Ja tych komend nie wykonywalem. Ktos mi wmawia ze to phpmyadmin sam.
Whistler_QD - 06-01-2009 22:20
aptitude install phpmyadmin
apt-get install phpmyadmin
Jak mógł się sam zainstalować?
lis6502 - 06-01-2009 23:20
No dobra, coś tu śmierdzi. Ale właściwie do czego zmierzasz? Masz ip kolesia i godzinę o której się połączył (/var/log/auth.log). Co zamierzasz dalej z tym zrobić?
No dobra, coś tu śmierdzi. Albo kogoś prosiłeś o instalację czegoś i zapomniałeś o tym. Zmień hasło na roota na jakieś porządne (polecam apg- do znalezienia w repo) i podnieś port ssh na jakiś nietypowy.
thalcave - 06-01-2009 23:47
I skonfiguruj sshd tak, by nie było możności zalogowania się na konto roota.
JarekMk - 07-01-2009 10:11
I skonfiguruj sshd tak, by nie było możności zalogowania się na konto roota.
Czemu? Ja to lubię...
Lepiej zmienić port SSHD + 128 bitowe hasło :)
lis6502 - 07-01-2009 10:30
Jak już o hasłach mowa, to widziałem gdzieś skrypt, który przy którymś tam nieudanym logowaniu z $IP robi tcpkill $IP przez minutkę czy dwie. I to byłoby chyba pierwsze, czym zainteresowałbym się po zauważeniu takich śladów.
markossx - 07-01-2009 16:31
A jeszcze lepiej używać kluczy.
jakwak - 07-01-2009 17:45
W repozytoriach Debiana jest coś takiego jak fail2ban. Działa z kilkoma usługami, nie tylko sshd.
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
