utok
Pavel Krpata
taylor na mcc.cz
Úterý Srpen 31 23:16:06 CEST 1999
>dnes brzy rano jsme podlehli..... a sice z adresy 203.108.128.242
>(ewwmail.ozemail.com.au). Odnesla to hlavni stranka webu, kterou zmenili.
>Jinak jsem nalezl podadresar v /tmp/... kde se vyskytly nejake podezrele
>programky. Dale jsem zaznamenal zmenu /etc/passwd, tedy, ze byl
>modifikovan, ale viditelne zmeny jsem tam neobjevil. Z vyse uvedene IP
>adresy byl ve /var/log/messages zaznam prihlaseni roota telnetem.
>
>Zmenil jsem heslo roota a zakazal prihlaseni telnetem (pouze ssh).
Zkontroluj si hlavne jestli nenechal nejake backdoory. Prohlidnul bych
inetd.conf, procesy bezici v pameti, velikost programu ls, ps, login, su,
ping a dalsi (hlavne vsechny majici setuit bit). Porovnej je s originalem na
instalackach nebo pokud mas zdrojaky, tak prekompiluj.
Taky mi kdysi nekdo hackunl server, nastesti nic neznicil. Prisel jsem na to
brzy, bylo tam hned nekolik backdooru (napr. znamy bindshell). Obnovil jsem
cele adresare /bin /usr/bin /sbin /usr/sbin ze zalohy a zkontroloval
konfiguraky. Mam taky ty hackersky toolsy co tam zapomel a castecny zaznamy
o jeho cinnosti.
BTW nerika tu nekomu neco jmeno Malk ?
Ale jsem rad ze na to doslo, predtim jsem bezpecnost podcenoval, zacal jsem
na to dbat az kdyz me skutecne hackli. Clovek si opravdu rika, proc by
hackli zrovna me. Pozna to az ho skutecne hacknou.
Pavel
Další informace o konferenci Linux