Asi nabourani do linuxu
Petr Novotny
Petr.Novotny na antek.cz
Čtvrtek Duben 13 14:52:37 CEST 2000
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 13 Apr 00, at 14:40, Igor Bujna wrote:
> Nevim,
> mam takove pochybnosti, ze se nekdo naboural do naseho
> linuxu(RH 6.1).
Jen pochybnosti?
> soubory "secure,messages,maillog,cron" odkazovali(byli linkami)
> na /dev/null.
Pekne.
> To se mi zdalo podezrele tak jsem zacal hledat v /etc a nasel jse v
> passwd tuto zmet : adm1:saU.ig9KSpPLg:3:4:adm:/var/adm:
> root1:Lu.NFXqk0jXIw:0:0:root:/root:/bin/bash b1::0:0::/tmp:/bin/bash
> b2::5000:5000::/tmp:/bin/bash
Takze pochybnosti, jo? Nekdo vam jen tak pise do /etc/passwd, a
vy pochybujete, zda to je OK?
> a to vse bylo pridano na konci passwd.Hlavne me zarazilo ty hesla,
> protoze pouzivam stinovani hesla. Takze asi jsem byl nabouran, tak
> jsem smazal tyto hnusarny,a zmenil si heslo do roota, ale nevim co
> dal, protoze logy byly pekne vytistene tim linkem na /dev/null.
> Myslite, ze se nekdo naboural
Pokud jste si to tam nenapsal sam... :-)
> a jakou metodu pouzil.
Tezko rict na prvni pohled. Jaky sw jste mel instalovan? Byl to
RH6.1 neopatchovany, jak prisel? Posledni dva velke root exploity v
6.1 jsou BIND a gpm-root.
> No a dale se mi
> nejde prihlasit z conzoly.
Hacknuty pocitac je treba preinstalovat od zakladu. Zachranit data
by bylo fajn. Konfiguraky jen s nejvetsim odporem a dukladne
prohlednou. Binarky jsou vsechny potencialne nakazene, stejne
jako kernel. Zacit pekne od mkfs... :-)
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60
Comment: http://community.wow.net/grt/qdpgp.html
iQA/AwUBOPW1BVMwP8g7qbw/EQJd2ACgnKOnok8QGkefks436UbSw+JI2IsAoKGT
IZnErXX570CyTWkaSy/tvp7R
=ChXf
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
[Tom Waits]
Další informace o konferenci Linux