Potkali jste nekdo hack kakasniff?

Pondělí Říjen 26 23:34:10 CET 1998

On 26 Oct 98, at 23:04, Tibor Pittich wrote:

> pritelovi som pomahal dostat do povodneho stavu masinu a z logov sa dalo
> zistit toto:
> Oct 24 21:53:47 main tcpd[12211]: warning: can't get client address: Socket
> operation on non-socket
> Oct 24 21:53:47 main tcpd[12211]: connect from unknown
> Oct 24 21:53:47 main tcpd[12211]: warning: can't get client address: Socket
> operation on non-socket
> upozornujem, ze /var/log/messages bolo "precistene".
> 
> zistil som naledovne:
> masina bola hacknuta cez dieru v named, nainstalovany bol rootkit (ls -la
> /dev/pty?), "patchnute" takmer vsetky "zaujimave" binarky...
> btw. backdoor skuste hladat v /etc/inetd.conf ;)

Named na masine nebyl. inetd.conf je ciste. Jedine co jsem 
nasel zmene bylo ps a login a to asi proto, aby nebyla videt na 
masine bezici IRC brana bnc (alespon jsem to tak pochopil, ze 
je to IRC brana). MD5 suma nesouhlasila take u imapd, ale tam 
to bylo zrejme tim, ze kdyz se objevil problem s imapd, tak jsem 
ho prekladal vlastni. Pracovni adresar si zalozil v 
/usr/src/linux/arch/sparc jako .lib

Tak nejak jsem to povetsinou zupgradoval z redhatu 5.0 na 5.1 a 
zakazal jakekoliv spojeni z tech adres, ale on si je asi urcite 
muze menit dle libosti. 

BTW veci si ke mne stahoval z ftp://209.224.145.38, ale heslo a 
login  nevim.

zdravim
dan

                    ________________________________________
DDDDDD             
DD   DD                Dan Ohnesorg, supervisor on POWER     
DD  OOOO               Dan na feld.cvut.cz
DD OODDOO              Dep. of Power Engineering
DDDDDD OO              CTU FEL Prague, Bohemia
   OO  OO              work: +420 2 24352785;+420 2 24972109
    OOOO               home: +420 311 679679;+420 311 679311
                    ________________________________________
Dopisoval bych si rad s divkou.
Zn. Negramotnost neni na zavadu.