Ну вот и нас посчитали.

[vlad_rulez]

Ну что же, пост будет по мотивам вот этих статей - http://www.opennet.ru/opennews/art.shtml?num=32226 и  http://www.opennet.ru/opennews/art.shtml?num=32437

Сегодня утром нашли вот такой подарок:

$ last root
root     pts/0        67.228.180.98  15:28 - 15:31  (00:03)

Хистори:
###########################################################################

Comments

[romik_g]

Русские.

[vlad_rulez]

>> а подробней, как они рута получили?

Судя по всему с зараженной трояном винды пароль и сошёл.

>> что толку закрывать эти хосты если это публичный патч, а действовал, судя по логам, школьник?

тут уже дело ваше.

[dil]

Да с заражённой машины и ключик можно стянуть, хотя это чуть сложнее

[dil]

Ибо не зря придумана опция PermitRootLogin no

[vlad_rulez]

Угу, хорошая штука, пока у вас хостов меньше сотни и админов меньше десяти, они работают в одно и тоже время и не часто меняются.

[dil]

Не понял. sudo вполне справляется с любым количеством админов, независимо от времени работы. Особенно если они часто меняются.

[vlad_rulez]

А на сотнях хостов, в том числе на пользовательских VPS и дедиках (которых тоже сотни) кто будет править sudoers и что будем втирать кастомеру?

Я просто на другом проекте уже такую схему с sudoers наблюдал. Не очень.

[dil]

А с патчем всё совершенно прозрачно, там английским по белому написано:
S S H S P Y P A T C H. Ворует пароли и отсылает на этот самый status-ok.com

[vlad_rulez]

Да, я его выделил только что бы не пропустили.

[tigerby]

а еще можно не ставить/снести wget ;) неоднократно наблюдал за полетом фантазии ХаКиРов, которые, видимо, не в курсе, что бывают *nix машины без wget

OffTopic: тс, ты б еще "баш скрипт" наваял, проверять чтобы ;-)

[romik_g]

И без компиляторов, и с tripwire.

[tigerby]

жаль что ломать роботы будут а не люди, скорее всего, они наверное очень бы удивились:-)