Friday, April 15, 2005

Враг не дремлет

К списку приговорённых к расстрелу за спам надо добавить юзеров которые выбирают себе простой пароль, особенно такой же как логин, и администраторов которые им это позволяют. Меня в том числе. Вчера обнаружил что мой сервер был взломан. Сижу строчу письмо в pine, и вдруг замечаю что он всё медленнее и медленнее реагирует на клавиатуру. Такого быть не должно - от работы до сервера кабель как минимум на 3 мегабита, а там недогруженный пентиум 3. Выхожу из pine, вижы следующее: что-то под названием atac, в количестве около 30 штук, сканирует несколько десятков тысяч адресов с ssh. Что-то ещё открыло связь по irc куда-то в Норвегию. Появились какие-то дополнительные процессы под названием loginx которые я даже убить не могу... В общем, всё плохо. Хакнули и уже вовсю используют. Вычистил, перегрузил пару раз, все новые патчи установил. Вроде всё убрал. С перепугу не записал адрес irc - может можно было бы туда подключиться, ужнать зачем стучались. Просмотрев логи обнаружил что взломщик подобрал юзера у которого пароль совпадает с логином, вошёл, создал себе секретный директорий под /dev/shm и начал оттуда действовать. Никаких дырок в операционной системе не использовал - ему хватило ошибок бестолкового сисадмина. Но я на грабли два раза не наступаю. По крайней мере не сразу. Так что если кто потерял доступ к своему аккаунту - пишите, дам вам шанс поменять пароль.

No comments: