Asi nabourani do linuxu

[Mila Kuchta]

igor.bujna na maxi-tip.cz (Igor Bujna) wrote:
>Nevim, 
>mam takove pochybnosti, ze se nekdo naboural do naseho 
>linuxu(RH 6.1).
>Pochybnost vznikla dnes , kdy jsem se nemohl napojit z conzoly, 
>protoze se napojuji pre ssh.Tak jsem chtel zkontrolovat logy ve 
>/var/log a co nevidi oci me.
>soubory "secure,messages,maillog,cron" odkazovali(byli linkami) 
>na /dev/null.
>To se mi zdalo podezrele tak jsem zacal hledat v /etc a nasel jse v 
>passwd tuto zmet :
>adm1:saU.ig9KSpPLg:3:4:adm:/var/adm:
>root1:Lu.NFXqk0jXIw:0:0:root:/root:/bin/bash
>b1::0:0::/tmp:/bin/bash
>b2::5000:5000::/tmp:/bin/bash
>
>a to vse bylo pridano na konci passwd.Hlavne me zarazilo ty hesla, 
>protoze pouzivam stinovani hesla.
>Takze asi jsem byl nabouran, tak jsem smazal tyto hnusarny,a 
>zmenil si heslo do roota, ale nevim co dal, protoze logy byly pekne 
>vytistene tim linkem na /dev/null.
>Myslite, ze se nekdo naboural a jakou metodu pouzil.
>No a dale se mi nejde prihlasit z conzoly.
>Dik a hackerum zdar.......  

Vypada to, ze mate problem. Je asi jasne co se stalo, ale nemyslim, ze by Vam
pomohlo si zmenit heslo. Asi bych jako prvni prohledal disk na setuidy, setgidy
atd. Pokud pouzivate tripwire, mozna si budete moci odpustit reintalaci. Mozna
by to slo i pres rpm, ale tomu bych moc neveril. Co se tyka te konzole, nevim
ale asi si utocnik chtel zajistit, ze si na ni nenechavate zobrazovat logy, a
nebo se chtel pojistit ze ho pri tom nenachytate a neuvedomil si ze to pujde
vzdalene:-))) Asi bych se pokusil obnovit nejake soubory, nevim to sice z
prikazove radky, ale urcite to umi mc. Zkuste take prohledat soubory v /root,
jestli tam nahodou nezanechat nejake stopy (napr bash_history, ale to by byl
asi opravdu hodne hloupej). Jakou metodu pouzil nevim, ale metod je spousta a
budou se objevovat dalsi, jde jen o to jak ten pocitac mate zabezpecenej. Co
Vam dela ta konzole? Myslite jako root nebo co?

s pozdravem

Mila Kuchta