Реальный лог разговора с моим коллегой — привожу без каких-бы то ни было купюр или исправлений.
[13:22:33] Admin1: интересная история — я нашел живого вроде трояна
[13:22:36] Admin1: в линуксе
[13:22:49] Admin1: причем он там давно
[13:23:07] Admin1: ничем не детектится
[13:23:16] Admin1: клиент пожаловался на утечку трафика
[13:23:24] Admin2: опа
[13:23:27] Admin2: рассказывай!
[13:24:20] Admin1: в общем, начну с середины
[13:24:47] Admin1: у клиента 3 компа, все связаны по вайфаю
[13:24:57] Admin1: + точка wifi и ADSL модем
[13:25:21] Admin1: на точку даже сейчас (после смены всех паролей) кто-то продолжает ломиться
[13:25:29] Admin1: и в модем тоже
[13:26:03] Admin1: но это так, последствия уже :)
[13:26:49] Admin1: в компе имеется каталог /etc/trail/.ssh/./.../
[13:27:02] Admin1: ну и там пару интересных файликов :)
[13:27:19] Admin2: хммм… Как они могли туда попасть? без root?
[13:27:21] Admin1: очень похоже на IRC бот
[13:27:25] Admin1: с рутом
[13:27:46] Admin1: там рутовый пароль стоял простой, и в ssh рут был разрешен !!!
[13:27:55] Admin2: ясно
[13:27:57] Admin2: :)
[13:28:46] Admin1: работать троян (или что оно там) перестало недавно, пару дней назад (до того, как комп попал ко мне)
[13:29:05] Admin1: после очередного апдейта, похоже
[13:29:06] Admin2: я все же думаю, что работал инсайдер :)
[13:29:14] Admin1: 100% нет
[13:29:14] Admin2: а что за ось?
[13:29:29] Admin1: дебиан сид
[13:29:40] Admin2: очччень странно
[13:29:52] Admin2: и еще раз доказывает, что надо рута под SSH закрывать
[13:29:58] Admin2: и не надо его вообще root называть!
[13:30:02] Admin1: ну так это само собой
[13:30:10] Admin1: да какая разница
[13:30:18] Admin1: главное чтобы по ssh было не зайти
[13:31:51] Admin1: троян попал туба похоже 28 марта -такая дата на каталогах, и до этой даты логи все потерты
[13:32:02] Admin2: блин
[13:32:05] Admin2: умная хрень
[13:32:08] Admin2: а что он делал?
[13:32:12] Admin2: ботнет готовил? :)
[13:32:18] Admin1: типа того
[13:32:36] Admin1: причем что-то оригинальное
[13:32:38] Admin2: можно я наш разговор с потертыми именами выложу на Хабр?
[13:32:53] Admin1: rkhunter его не знает, chkrootkit тоже
[13:33:04] Admin1: да, можно
[13:33:08] Admin2: пасиб :)
[13:33:26] Admin1: я воббще трояна так и не смог идентифицировать полностью
[13:33:31] Admin1: но!!!
[13:33:48] Admin1: вчера один чел в инете писал похожее
[13:33:58] Admin1: и именно в дебиане
[13:34:03] Admin2: стало быть надо шевелиццо :)
[13:34:21] Admin2: ты скрипты сохранил?
[13:34:21] Admin1: хотя у него ситуациа немного другая
[13:34:27] Admin1: все есть
[13:34:32] Admin1: я все забэкапил
[13:34:40] Admin2: отправь может в дебиан.орг
[13:34:55] Admin1: понаставил внешних логов — чтобы не потерли — и жду
[13:34:59] Admin1: мож кто придет :)
[13:35:03] Admin2: :)
[13:35:08] Admin2: с вилами ждешь? ;)
[13:36:24] Admin1: нем, пока с лупой и наушниками :)
[13:36:29] Admin2: :)
[13:36:39] Admin1: а потом — как получится :)
[13:36:48] Admin1: может и ЯО получится применить :)
[13:37:56] Admin1: я как-то читал отчет грамотного чела — он чуть подправил код ботнета (тоже у клиента где-то нашел) — и всунул руткит хозяину :)
Ну собственно все в стенограмме. Сколько копий уже было поломано о такие простые истины? И все равно найдутся люди, которые скажут, что закрыть SSH — это паранойя и так далее. Вот пока рядом так не бухнет — не перекрестишься. Еще раз хочу до всех донести простую мысль: защиты много не бывает. Особенно, если вы знаете, сколько стоит ваша информация!
[13:22:33] Admin1: интересная история — я нашел живого вроде трояна
[13:22:36] Admin1: в линуксе
[13:22:49] Admin1: причем он там давно
[13:23:07] Admin1: ничем не детектится
[13:23:16] Admin1: клиент пожаловался на утечку трафика
[13:23:24] Admin2: опа
[13:23:27] Admin2: рассказывай!
[13:24:20] Admin1: в общем, начну с середины
[13:24:47] Admin1: у клиента 3 компа, все связаны по вайфаю
[13:24:57] Admin1: + точка wifi и ADSL модем
[13:25:21] Admin1: на точку даже сейчас (после смены всех паролей) кто-то продолжает ломиться
[13:25:29] Admin1: и в модем тоже
[13:26:03] Admin1: но это так, последствия уже :)
[13:26:49] Admin1: в компе имеется каталог /etc/trail/.ssh/./.../
[13:27:02] Admin1: ну и там пару интересных файликов :)
[13:27:19] Admin2: хммм… Как они могли туда попасть? без root?
[13:27:21] Admin1: очень похоже на IRC бот
[13:27:25] Admin1: с рутом
[13:27:46] Admin1: там рутовый пароль стоял простой, и в ssh рут был разрешен !!!
[13:27:55] Admin2: ясно
[13:27:57] Admin2: :)
[13:28:46] Admin1: работать троян (или что оно там) перестало недавно, пару дней назад (до того, как комп попал ко мне)
[13:29:05] Admin1: после очередного апдейта, похоже
[13:29:06] Admin2: я все же думаю, что работал инсайдер :)
[13:29:14] Admin1: 100% нет
[13:29:14] Admin2: а что за ось?
[13:29:29] Admin1: дебиан сид
[13:29:40] Admin2: очччень странно
[13:29:52] Admin2: и еще раз доказывает, что надо рута под SSH закрывать
[13:29:58] Admin2: и не надо его вообще root называть!
[13:30:02] Admin1: ну так это само собой
[13:30:10] Admin1: да какая разница
[13:30:18] Admin1: главное чтобы по ssh было не зайти
[13:31:51] Admin1: троян попал туба похоже 28 марта -такая дата на каталогах, и до этой даты логи все потерты
[13:32:02] Admin2: блин
[13:32:05] Admin2: умная хрень
[13:32:08] Admin2: а что он делал?
[13:32:12] Admin2: ботнет готовил? :)
[13:32:18] Admin1: типа того
[13:32:36] Admin1: причем что-то оригинальное
[13:32:38] Admin2: можно я наш разговор с потертыми именами выложу на Хабр?
[13:32:53] Admin1: rkhunter его не знает, chkrootkit тоже
[13:33:04] Admin1: да, можно
[13:33:08] Admin2: пасиб :)
[13:33:26] Admin1: я воббще трояна так и не смог идентифицировать полностью
[13:33:31] Admin1: но!!!
[13:33:48] Admin1: вчера один чел в инете писал похожее
[13:33:58] Admin1: и именно в дебиане
[13:34:03] Admin2: стало быть надо шевелиццо :)
[13:34:21] Admin2: ты скрипты сохранил?
[13:34:21] Admin1: хотя у него ситуациа немного другая
[13:34:27] Admin1: все есть
[13:34:32] Admin1: я все забэкапил
[13:34:40] Admin2: отправь может в дебиан.орг
[13:34:55] Admin1: понаставил внешних логов — чтобы не потерли — и жду
[13:34:59] Admin1: мож кто придет :)
[13:35:03] Admin2: :)
[13:35:08] Admin2: с вилами ждешь? ;)
[13:36:24] Admin1: нем, пока с лупой и наушниками :)
[13:36:29] Admin2: :)
[13:36:39] Admin1: а потом — как получится :)
[13:36:48] Admin1: может и ЯО получится применить :)
[13:37:56] Admin1: я как-то читал отчет грамотного чела — он чуть подправил код ботнета (тоже у клиента где-то нашел) — и всунул руткит хозяину :)
Ну собственно все в стенограмме. Сколько копий уже было поломано о такие простые истины? И все равно найдутся люди, которые скажут, что закрыть SSH — это паранойя и так далее. Вот пока рядом так не бухнет — не перекрестишься. Еще раз хочу до всех донести простую мысль: защиты много не бывает. Особенно, если вы знаете, сколько стоит ваша информация!
