(zatim) nekrvavy lov
Michal Hucik
chaky na goliash.inext.cz
Pátek Říjen 9 09:13:29 CEST 1998
Hi,
Karel Volejnik (Karel.Volejnik na be-net.cz) wrote:
> Dobry den,
> prave se mi povedlo odchytit hackera na Linuxu zakaznika.
Jen tak pro zajimavost doplnim tuto zpravu o sve zkusenosti. Asi pred
mesicem byl jeden z mych pocitacu nabouran pres bind (stara verze). Tu
skutecnost ze je system nabouran jsem zjistil diky tomu, ze kolega pouziva
na lokalni siti telnet a ten jej nechtel pustit do nabourane masiny. Takze
jsem sel po problemu a duvod byl v tom, ze program login nemel nastaven suid
bit (pouzivam shadow), takze nemohl nakouknout do seznamu hesel. Po 'ls'
jsem zjistil ze se velikost login zmenila o cca 250kB, takze uz mi bylo
jasne odkud vetor vane ... nasledovala kontrola logu (samozrejme zbytecna),
rpm -Va ukazalo zmenu tradicnich ps, top, netstat, login, tcpd, bind ...
Konfiguracni soubory tech trojanu jsem nasel v oblibenem /dev/pty* a sniffer
se spoustel z /etc/rc.d/rc.sysinit.
Nainstaloval jsem si do systemu opravene binarky a za cca 3 hodiny se hacker
ozval znova. Nejprve z nejakeho nabouraneho nemeckeho radia a kdyz se mu
nedarilo, tak to nekolikrat zkusil ze sveho dialupu ve svedsku (v
konfiguraci nabouraneho netstatu byl filtr na adresy ze stejneho prostoru, z
jakeho byl ten dialup, takze jsem byl doma). Poslal jsem fax do toho radia
(tam jsou pravdepodobne nabourani dodnes :( i na dva providery ve svedsku a
po trech dnech mi prisla odpoved ze dotycny byl predan policii ... Happy End.
Bohuzel jedine, co se mi nepodarilo podchytit bylo to, ze kdyz jsem killnul
nabourany bind, tak jeste pred tim nez se ukoncil, tak odeslal nejaky mail
do domeny hotmailu .... :(
Ahoj -
Michal
--
"http://www.inext.cz/www/chaky/", "mailto:chaky na vs.inext.cz"
---=== Beskyde, Beskyde, kdo po tobe SCSI ... ? ===---
Další informace o konferenci Linux