Włamanie - Wersja do druku +- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl) +-- Dział: Inne (/inne-11-f) +--- Dział: Humor (/humor-25-f) +--- Wątek: Włamanie (/wlamanie-33465-t) |
Włamanie - LadyInBlue - 28.05.2013 21:27 In pl.comp.os.linux.sieci FastViper wrote: > Włamanie naszczęście nie do mnie, ale do kolegi. > > Taki problem: Zobaczył w logach, że ktoś z adresu 127.0.0.1 wysyłał maile > przez jego kompa. To jest dosyć dziwne, bo on ma zamknięty relay.... > Zniknęły mu też pliki z dysku.. Poprosił mnie o pomoc, to ja go namierzam: > ping 127.0.0.1 > Blisko jest sukinkot! (<1ms). Próbowałem się logować (telnetem i ssh) na ten > serwer ale odrzuca. Ftp ani www nie ma też... > > Chcę mu zrobić krzywdę... Pomocy. Jak go zlokalizować? (Sprawdźcie pingi do > niego od siebie i wyślijcie raporty tutaj..) Może wspólnymi siłami go > pokonamy... > > Co mam odpowiedzieć koledze? 127.0.0.1 to bardzo zlosliwy serwer aktywnej replikacji. Stara sie upodobnic do kompa, na ktorego usiluje sie (automatycznie) wlamac. W ten sposob moze oszukiwac uzytkownikow laczacych sie z zewnatrz - wydaje im sie, ze lacza sie z Twoim kompem, a w rzeczywistosci sa polaczeni z 127.0.0.1. W ten sposob wlamywacz moze uslyszec wszystkie hasla z przychodzacych polaczen. Mozna go zalatwic jego wlasna bronia. Wlacz na kompie kumpla dostep przez ssh (sshd). Zmien haslo root'a chwilowo na '7f000001' (bez cudzyslowow - to szesnastkowo 127.0.0.1). Wowczas na 127.0.0.1 (na zasadzie aktywnej replikacji) rowniez pojawi sie dostep przez ssh - i to z takim samym haslem Laczysz sie do 127.0.0.1 przez ssh jako root, haslo 7f000001 i wpisujesz np. dd if=/dev/random of=/dev/hda To uziemi parszywe 127.0.0.1 na dluzszy czas. Trzeba sie spieszyc, bo wlamywacz moze Ciebie porzucic i zabrac sie za kolejna ofiare - wowczas nie bedziesz juz mial do niego takiego dostepu. Powodzenia! A.Slodowy |