Asi nabourani do linuxu

[Petr Novotny]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 13 Apr 00, at 14:40, Igor Bujna wrote:

> Nevim, 
> mam takove pochybnosti, ze se nekdo naboural do naseho 
> linuxu(RH 6.1).

Jen pochybnosti?

> soubory "secure,messages,maillog,cron" odkazovali(byli linkami) 
> na /dev/null.

Pekne.

> To se mi zdalo podezrele tak jsem zacal hledat v /etc a nasel jse v
> passwd tuto zmet : adm1:saU.ig9KSpPLg:3:4:adm:/var/adm:
> root1:Lu.NFXqk0jXIw:0:0:root:/root:/bin/bash b1::0:0::/tmp:/bin/bash
> b2::5000:5000::/tmp:/bin/bash

Takze pochybnosti, jo? Nekdo vam jen tak pise do /etc/passwd, a 
vy pochybujete, zda to je OK?

> a to vse bylo pridano na konci passwd.Hlavne me zarazilo ty hesla,
> protoze pouzivam stinovani hesla. Takze asi jsem byl nabouran, tak
> jsem smazal tyto hnusarny,a zmenil si heslo do roota, ale nevim co
> dal, protoze logy byly pekne vytistene tim linkem na /dev/null.
> Myslite, ze se nekdo naboural

Pokud jste si to tam nenapsal sam... :-)

> a jakou metodu pouzil.

Tezko rict na prvni pohled. Jaky sw jste mel instalovan? Byl to 
RH6.1 neopatchovany, jak prisel? Posledni dva velke root exploity v 
6.1 jsou BIND a gpm-root.

> No a dale se mi
> nejde prihlasit z conzoly.

Hacknuty pocitac je treba preinstalovat od zakladu. Zachranit data 
by bylo fajn. Konfiguraky jen s nejvetsim odporem a dukladne 
prohlednou. Binarky jsou vsechny potencialne nakazene, stejne 
jako kernel. Zacit pekne od mkfs... :-)

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOPW1BVMwP8g7qbw/EQJd2ACgnKOnok8QGkefks436UbSw+JI2IsAoKGT
IZnErXX570CyTWkaSy/tvp7R
=ChXf
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]