crack attempt

Petr Skoda skoda na sunstel.asu.cas.cz
Neděle Duben 26 14:48:55 CEST 1998



Prosim, bylo by mozne poslat ten chytak ? (na soukromou adresu)?

To je pro Linux nebo obecne prelozitelne ?

Ten zmetek se totiz dival i u nas a na stroji s RH5.0 mam v logu totez,
ale ta hlaska o crack attempt tam chybi 

Apr 23 17:00:55 merope imapd[10083]: warning: can't get client address:
Connecti
on timed out
Apr 23 17:00:55 merope imapd[10083]: connect from unknown
Apr 23 17:53:50 merope imapd[10130]: connect from 195.232.39.189
Ap




Na dalsich strojich tady bezi krome RH5 jeste RH4.1 a 4.2, ale tam se nic
neobjevilo. Proto me zajima, ktera verze imapu je uz bezpecna - zad v tech
ostatnich strojich neco nehacknul. Da se to zrusit vymazanim imapu v
/etc/services , nebo je to slozitejsi ?

Hruza me jima, kdyz si vezmu, ze beham na SunOS imapv2.1 z baliku pine89 -
pine ale pouzivame vsichni - musim ho mit aktivni, nebo pujde lokalne i
bez imapu ?

Ze crackeri radeji samozrejme vim, ale ze uz nasli nase stroje me desi.
Nedavno spamari relayovali pres nas sunstel a sotva si oddychnu po
instalaci sendmailu 8.8.8 s check_rcpt hackem a uz pokusy o neco horsiho 
Ach jo ;-(((    

On Sun, 26 Apr 1998, Leos Bitto wrote:

> > 
> > tohle bylo ve /var/log/secure:
> > 
> > Apr 23 15:54:19 mail imapd[5789]: warning: can't get client address: Connection timed out
> > Apr 23 15:54:19 mail imapd[5789]: connect from unknown
> > .
> > .
> > .
> > Apr 23 16:37:03 mail imapd[5961]: connect from 195.232.39.189
> >                                                ^^^^^^^^^^^^^^
> >                                                nslookup ukazal, ze adresa nalezi vami uvedenemu
> >                                                domenovemu jmenu.
> > 
> > O co cloveku, ktery to zkousel, slo netusim.
> > 
> 
> Zato ja to tusim naprosto presne. Taky se mi o jeden server pokousel, a
> vim ze se ten clovek pokousel zneuzit diru ve starsich verzich imapd,
> ktera umoznuje ziskat na danem pocitaci rootovska prava. U me se pokousel
> vykonavat tyto prikazy: whoami, ls, w. Takze to byl jeden z tech
> slusnejsich. ;-) Uz jsem nachytal i cloveka co rovnou chtel delat tohle:
> echo neco >> /etc/passwd; cp /bin/sh /tmp/neco; chmod 4755 /tmp/neco. 
> 
> Takze o co se pravdepodobne jedna tentokrat: nekdo projizdi cele bloky IP
> adres a hleda servery se starym imapd, aby je mohl hacknout.
> 
> Nejlepsi co muzete udelat je si svuj server zabezpecit a pokud mozno
> nainstalovat nejaky firewall. Je az s podivem kolik existuje firem ktere
> jsou vam schopne dodat "komplexni reseni pripojeni na Internet", nauctovat
> si za to nehorazne penize a vysledek je celkem zalostny. :-(
> 
> 
> 
> Leos Bitto
> 

************************************************************************* 
*  Petr Skoda                         Tel   : (0204) 649201, l. 361     * 
*  Stelarni oddeleni                          (0204) 620361, 620136     *
*  Astronomicky ustav AVCR            Fax   : (0204) 620250             *
*  251 65 Ondrejov                    e-mail: skoda na sunstel.asu.cas.cz  *
*  Ceska republika                            pskoda na mbox.cesnet.cz     *
*************************************************************************



Další informace o konferenci Linux