Potkali jste nekdo hack kakasniff?
Dan Ohnesorg, admin of POWER
Dan na feld.cvut.cz
Pondělí Říjen 26 23:34:10 CET 1998
On 26 Oct 98, at 23:04, Tibor Pittich wrote:
> pritelovi som pomahal dostat do povodneho stavu masinu a z logov sa dalo
> zistit toto:
> Oct 24 21:53:47 main tcpd[12211]: warning: can't get client address: Socket
> operation on non-socket
> Oct 24 21:53:47 main tcpd[12211]: connect from unknown
> Oct 24 21:53:47 main tcpd[12211]: warning: can't get client address: Socket
> operation on non-socket
> upozornujem, ze /var/log/messages bolo "precistene".
>
> zistil som naledovne:
> masina bola hacknuta cez dieru v named, nainstalovany bol rootkit (ls -la
> /dev/pty?), "patchnute" takmer vsetky "zaujimave" binarky...
> btw. backdoor skuste hladat v /etc/inetd.conf ;)
Named na masine nebyl. inetd.conf je ciste. Jedine co jsem
nasel zmene bylo ps a login a to asi proto, aby nebyla videt na
masine bezici IRC brana bnc (alespon jsem to tak pochopil, ze
je to IRC brana). MD5 suma nesouhlasila take u imapd, ale tam
to bylo zrejme tim, ze kdyz se objevil problem s imapd, tak jsem
ho prekladal vlastni. Pracovni adresar si zalozil v
/usr/src/linux/arch/sparc jako .lib
Tak nejak jsem to povetsinou zupgradoval z redhatu 5.0 na 5.1 a
zakazal jakekoliv spojeni z tech adres, ale on si je asi urcite
muze menit dle libosti.
BTW veci si ke mne stahoval z ftp://209.224.145.38, ale heslo a
login nevim.
zdravim
dan
________________________________________
DDDDDD
DD DD Dan Ohnesorg, supervisor on POWER
DD OOOO Dan na feld.cvut.cz
DD OODDOO Dep. of Power Engineering
DDDDDD OO CTU FEL Prague, Bohemia
OO OO work: +420 2 24352785;+420 2 24972109
OOOO home: +420 311 679679;+420 311 679311
________________________________________
Dopisoval bych si rad s divkou.
Zn. Negramotnost neni na zavadu.
Další informace o konferenci Linux