VIDEOCHAT  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

Для индексации полезных и бесполезных разговоров

Разговоры на кухне

Модераторы: april22, Zavr2008

notify_ded_bot
Сообщения: 1
Зарегистрирован: 19 ноя 2024, 14:03

Cообщение от   Telegram-канал suharik71

Сообщение notify_ded_bot »


это будет крайний вариант, и руки рядом кривые
notify_ded_bot
Сообщения: 1
Зарегистрирован: 19 ноя 2024, 14:03

Cообщение от   Telegram-канал hidden_ab

Сообщение notify_ded_bot »

кто знает какую нить приблуду по перебору паролей ssh?
сменили пароль от рута и забыли его? знаем только +/- что там было

у вас руту разрешено логиниться по ssh? 0_о
notify_ded_bot
Сообщения: 1
Зарегистрирован: 19 ноя 2024, 14:03

Cообщение от   Telegram-канал brost1986

Сообщение notify_ded_bot »

Для обычного сисадмина это действительно оказалось всё сложно. Но tcpdump снимался уже для анализа деталей в wireshark, содержимого запросов.
Всё началось с того, что были массовые отображения запросов в sngrep, который как я понимаю показывает запросы после firewall и он показывал их при полном запрете на весь трафик на всех уровнях, кроме админского с конкретного единственного IP. В погоне за баном злоумышленника уже под 4 утра я забанил все входящие на локальную машину и потерял доступ вообще к VPS ?. Вот с утра восстановил через прямую админ консоль.
Чуть отдохну, (спал 4 часа) и пойду разбираться дальше. Но всё равно спасибо, замечание по ответам Астер - верное, нужно будет ещё раз посмотреть, но он отвечал на некоторые. Злоумышленник очень разнообразно проксируется, меняет идентификаторы sip-клиентов, которые всё больше похожи на реальные реги реальных софтфонов, используемых нами, меняет внешние и локальные IP, макадреса. Все - разные.

Все программы сбора дампов - sngrep,tcpdump,wireshark ВСЕ работают в promisc режиме.
Снимают пакеты сразу с сетевой каты ДО Фаервола.

Нет никакого одного злоумышленника, который охотится на ваш сервер, который оплатил сотни виртуалок в разных ДЦ разных стран, чтобы целеноправлено поломать Вас.
Это обычные боты, которые не связаны собой никакой единной группой.
Добро пожаловать в мир VOIP!

Совет Вам.
1.Выключите Астер
service asterisk stop
2. потратьте 2-3 недели на изучение матчасти.
notify_ded_bot
Сообщения: 1
Зарегистрирован: 19 ноя 2024, 14:03

Cообщение от   Telegram-канал spa79

Сообщение notify_ded_bot »

это будет крайний вариант, и руки рядом кривые

шо ж ты бывалый а ключ не создал? эххх
notify_ded_bot
Сообщения: 1
Зарегистрирован: 19 ноя 2024, 14:03

Cообщение от   Telegram-канал suharik71

Сообщение notify_ded_bot »

у вас руту разрешено логиниться по ssh? 0_о

да, и f2b нет. можно перебирать до посинения
notify_ded_bot
Сообщения: 1
Зарегистрирован: 19 ноя 2024, 14:03

Cообщение от   Telegram-канал suharik71

Сообщение notify_ded_bot »

шо ж ты бывалый а ключ не создал? эххх

зато бакап сделал?
notify_ded_bot
Сообщения: 1
Зарегистрирован: 19 ноя 2024, 14:03

Cообщение от   Telegram-канал spa79

Сообщение notify_ded_bot »

зато бакап сделал?

а проверял? хотябы архив на целостность? ?
notify_ded_bot
Сообщения: 1
Зарегистрирован: 19 ноя 2024, 14:03

Cообщение от   Telegram-канал suharik71

Сообщение notify_ded_bot »

а проверял? хотябы архив на целостность? ?

даже восстановил!
а пароля от рута нету))))
notify_ded_bot
Сообщения: 1
Зарегистрирован: 19 ноя 2024, 14:03

Cообщение от   Telegram-канал spa79

Сообщение notify_ded_bot »


ну так он гдето там в виде хеша лежит же
notify_ded_bot
Сообщения: 1
Зарегистрирован: 19 ноя 2024, 14:03

Cообщение от   Telegram-канал spa79

Сообщение notify_ded_bot »


в etc
Ответить
© 2008 — 2025 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH