ГДБОП - кракери, шегаджии или 1984?

[strana]

Днес, докато преглеждах един VPS, се натъкнах на нещо интересно. Без мое знание, директно в /home, се е появила папка, озаглавена "l.tulev-cybercrime.bg". Понеже тача институциите, то реших да проверя дали не е някаква шега. Пуснах l.tulev в Гугъл и се оказа, че наистина съществува такъв човек - момче, завършило миналата година Академията на МВР, първенец на випуска при това, и веднага взето на работа в ГДБОП (подробности).

На VPS-а няма сайтове или файлове на ръба на закона, но пък щом така лесно се слагат чужди папки без мое знание, то не пречи там да се озове и цяла директория с порно-снимки, примерно. Притеснително е.

Реших да не звъня на хостерите, за да питам как аджеба се появяват такива папки във VPS, щото, ако не знаят, става сериозно, а ако знаят - мога да ги поставя в неловка ситуация не по тяхна вина. Т.е., и в двата случая шансът да получа конкретен отговор, е доста малък. Да звъня в ДАНС и ГДБОП също не виждам смисъл, затова питам тук, ако някой случайно се е сблъсквал с подобен казус или пък поназнайва повече.

интересно ми е също дали може да се проследяват и четат пощите (POP) и логовете - моите и на потребителите на сайтовете? В папката има .bash_history файл със следното съдържание:

ls
pwd
cd ..
ls -la
cd virtual/
ls -al
cd ..
cd /root/
ls -la
pico .bash_history 
vi .bash_history 
su root
sudo su 
sudo vi .bash_history 
w
ls -la
cd .ssh/
sudo cd .ssh
sudo su
sudo vi .bash_history 
sudo vi .bash_history 
sudo vi .viminfo 
sudo vi .mc/history 
ls
vi lastlogins.tmp 
vi /var/log/secure
sudo vi /var/log/secure
sudo vi .viminfo 
sudo vi .ssh/known_hosts
cd /var/log/
ls -la
sudo vi messages
sudo vi secure
userdel l.tulev-cybercrime.bg
sudo userdel l.tulev-cybercrime.bg
sudo vi secure
sudo vi secure 
ps -ax
ps -ax | grep tcpserver
sudo vi /etc/tcp.msa.cdb 
sudo vi /home/vpopmail/bin/vchkpw 
cd ~
ls
ls -la
vi .bash_history 
vi .viminfo 
sudo vi /root/.viminfo 
sudo vi /etc/sudoers 
sudo vi /var/log/secure
sudo vi /var/log/maillog
ls -la /var/qmail/users/cdb 
ls -la /var/qmail/users/
ls -la /var/qmail/alias/
ls -la /var/qmail/alias/.qmail-root 
sudo vi /var/qmail/alias/.qmail-root 
sudo locate qmail
sudo find / -iname "qmail*"
sudo vi /var/log/secure
sudo vi /root/.bash_history 
ls -la
rm -rf *
ls -la
sudo rm -rf .bash* .viminfo 
ls -la
exit

 

[mvmrik]

От: ГДБОП - кракери, шегаджии или 1984?

При мен пък се появи от известно време такава папка .gnupg - преди я нямаше. И аз имам .bash_history и някакви други файлове. На ICN ли ти е VPS-а?

 

[strana]

От: ГДБОП - кракери, шегаджии или 1984?

Не е на ICN. БГ-хостър е, но не бих искал да му споменавам името, докато не се изясни ситуацията.

 

[dertre]

От: ГДБОП - кракери, шегаджии или 1984?

.bash_history e нормално да имате. Там се пази лог с командите които сте писали. За това другото "l.tulev-cybercrime.bg" не знам.

 

[strana]

От: ГДБОП - кракери, шегаджии или 1984?

.bash_history си имам още в root, не е там проблемът. Въпросът е какво прави в неизвестната ми досега папка "l.tulev-cybercrime.bg" и кой я е създал, тъй като седи на едно ниво с /virtual, където са папките на сайтовете, т.е. външен потребител не би могъл да я създаде.

 

[mvmrik]

От: ГДБОП - кракери, шегаджии или 1984?

Най-добре питай хостинга. За мен не е нормално без твое знание да има такава папка.

 

[vaskoa]

Изглежда като че е се е пробвал да си заличи следите из логовете, но е забравил опцията -r на в userdel l.tulev-cybercrime.bg .

 

[vaskoa]

Re: От: ГДБОП - кракери, шегаджии или 1984?

Ами я отвори /etc/tcp.msa.cdb и виж какво има вътре. Също и в /etc/sudoers дали няма нещо добавено.

 

[strana]

От: Re: ГДБОП - кракери, шегаджии или 1984?

Изглежда като че е се е пробвал да си заличи следите из логовете, но е забравил опцията -r на в userdel l.tulev-cybercrime.bg .

10x, точно на това ми заприлича, но познанията ми в тази насока са доста слабички и затова бе добре да го каже някой с повече unix-знания и опит.

 

[strana]

От: Re: От: ГДБОП - кракери, шегаджии или 1984?

Ами я отвори /etc/tcp.msa.cdb и виж какво има вътре. Също и в /etc/sudoers дали няма нещо добавено.

/etc/tcp.msa.cdb не е променян от 2009г., , а /etc/sudoers е бил променян на същата дата, но не знам как да разбера какво е било пипано в него. Освен, че в закоментираните редове пише "## Sudoers allows particular users to run various commands as
## the root user, without needing the root password."

 

[ktomov]

Струва ми се, че по-скоро трябва да гледаш в роот хисторито.
su
parolata ti
cd $home
vi .bash_history
търси за mkdir

След това отвори /var/log/secure и виж дали няма вход през sshd от непознато за теб ИП.
След това провери за някой "не както трябва потребител".
vi /etc/shadow

И на майтап, като гледам горните команди. Я удари един last и виж за непознато ип.

 

[strana]

От: Re: ГДБОП - кракери, шегаджии или 1984?

Струва ми се, че по-скоро трябва да гледаш в роот хисторито.
su
parolata ti
cd $home
vi .bash_history
търси за mkdir

След това отвори /var/log/secure и виж дали няма вход през sshd от непознато за теб ИП.
След това провери за някой "не както трябва потребител".
vi /etc/shadow

И на майтап, като гледам горните команди. Я удари един last и виж за непознато ип.

Проблемът е, че всичко това е било правено на 21.07.2011, минало е доста време. Но благодаря за помощта, ще се опитам да открия нещо в логовете.

 

[vaskoa]

/etc/tcp.msa.cdb не е променян от 2009г.,

Все пак дали няма някое непознато IP в този файл например. Oт там може да си настрои разни интересни неща по мейл сървъра. Този vchkpw файл също е важен

а /etc/sudoers е бил променян на същата дата, но не знам как да разбера какво е било пипано в него. Освен, че в закоментираните редове пише "## Sudoers allows particular users to run various commands as
## the root user, without needing the root password."

Виж за някакви непознати потребители добавени. Там трябва да са най-много root, admin и евентуално твоите си юзери.

Аз мисля, че бих го преинсталирал моментално този сървър.

 

[ktomov]

Специално ласт командата показва доста време:

root     pts/1        **-***-1-84.edas Thu Feb 24 19:55 - 23:13  (03:17)

 

[Test]

От: ГДБОП - кракери, шегаджии или 1984?

Един малък пример ще дам, който не е по темата, но е свързан косвено с нея. Предполагам всички тук знаят, че наскоро откриха фалшиви магазини на Apple в Китай. А знаете ли какво предприеха китайските власти срещу тези реплики на маркови магазини? Просто им наредиха писмено да покрият логото на Apple и изобщо не са им затруднявали дейността. Това става в Китай, където управлява един от най-стриктните комунистически режими в света. В "демократична" България хората, занимаващи се с подобна дейност ги арестуват, затварят, конфискуват им всичко и т.н. Изводите си вадете сами.

 

[niks]

От: ГДБОП - кракери, шегаджии или 1984?

Моше пак си сгазил лука

Аз отдавна предполагах че си дърт педофил но от уважение към възрастта ти не го оповестих публично

Не се коси тези цървули от които те е страх не стават за нищо, на мен от колко време police-lan.netvisio.net. пробват да ми хакнат пощата в abv къде видимо от хисторито, къде без следи с участието на админите и ми чекват инфото.

Само идиот или милиционер може да си помисли че в български пощенски сървър ще обменям важна информация

А от година-две се рахождат и по някои от историческите и политическите ми сайтове, но няма лошо нека научат нещо че 5 години в Симеоново означава 25 малоумие а при някои "кадри" и до живот

Пиши на Шаренкова тя ще ги накаже по съветски

 

[strana]

От: ГДБОП - кракери, шегаджии или 1984?

niks, бегай оттука, не ми се четат твоите лигавщини в момента, темата е сериозна.

 

[niks]

От: ГДБОП - кракери, шегаджии или 1984?

Ни се впрягай пичка, кога става дума за гавра с хазари, славяни, комунисти и милиционери аз съм на първа линия

Този е много убав, бас слагам че е от потомствения милиционерски добитък поне от две генетично увредени поколения насам

 

[strana]

От: Re: ГДБОП - кракери, шегаджии или 1984?

Все пак дали няма някое непознато IP в този файл например. Oт там може да си настрои разни интересни неща по мейл сървъра. Този vchkpw файл също е важен

единственото, което се чете там е "SPPCONFFILE=/var/qmail/control/msaplugins" в края, останалото е подобно"e"

Виж за някакви непознати потребители добавени. Там трябва да са най-много root, admin и евентуално твоите си юзери.

Аз мисля, че бих го преинсталирал моментално този сървър.

Само root е активен, но има закоментирани странни # User_Alias ADMINS = jsmith, mikem . Предполагам, че са дадени като пример.

 

[strana]

От: ГДБОП - кракери, шегаджии или 1984?

Къде изчезна мнението на 1984? Сам не може да си го изтрие, а само да го промени.