Jeste k kakasnif

Oldrich Sapak sap na ics.muni.cz
Čtvrtek Říjen 29 09:10:33 CET 1998 


On Tue, 27 Oct 1998, Tibor Pittich wrote:

> Dna Tue, 27 Oct 1998 ste napisali:
> >Dobry den, 
> >trochu jsem se lekl, vcera sem v logu objevil nasledujici:
> >....										
> >Oct 25 20:47:15 mail2 telnetd[26623]: ttloop:  peer died: Invalid or incomplete multibyte or wide character 
> scanovanie otvorenych portov, v tomto pripade checkovanie telnet portu
> 
> >Oct 25 20:24:05 imapd[26629]: AUTHENTICATE
> ^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^ >P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P >^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^ >P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P
> >^P^P^P^P^P^P^P^P^P^P^P^P^P
> >Oct 25 21:24:05 mail2 ^G^IF^L0^K^Is^MN^H^MV^LM
> buffer overflow na imapd
> 
> >Jako zajic sem si rek, ze se nic nestalo, a nechal to byt. Zakazal sem
> >pristup z toho IP a to je vse. Byl by nekdo tak laskav a nasmeroval mne,
> >co a kde
> >mam proverit ? Na masine bezi sendmail a squid, RH 5.0.
> povedal by som, ze roota nemate na tej masine iba vy...
> >Diky moc,

Vazeni kolegove,

     z historickych duvodu mam pristup k jednomu serveru, ktery mohu a
soucasne mam zajem ovlivnovat jen velmi okrajove. Nicmene i tam se 
v logu vyskytuje prislusny textovy vzorek. Pripoustim, ze tam mohou byt
nejake back-doory a ze se tam hackeri mozna mohou nejak dostat. 
Nicmene imapd tam nainstalovany je posledni "bezpecne" verze z updatu
a je ve shode s bezpecnostnimi doporucenimi cert_advisories.
     Pokud tento zaznam v logu znamena vstup hackera pres imapd,
ptam se proc prave pres "bezpecny" imapd. Vi nekdo presneji, o co jde.
Vzhledem k identickym stopam v logfilech musi jit o nejaky standadizovany
prefabrikat.


                                 O. Sapak, UVT MU Brno

Další informace o konferenci Linux