prunik - co s tim?

Jirka 'Eagle' Novák eagle na unicode.cz
Úterý Srpen 1 15:28:08 CEST 2000


  Zdravim,
dnes 1.8. kolem 15:00 objevil kolega nahodou neznameho uzivatele momo. Kdyz
jsme se podivali do jeho adresare, objevili jsme spoustu "zajimavych veci"
(login, nejaky port scan, apod.). V logu samozrejme nic neni, ale po prostud
ovani zdrojaku jsme zjistili, ze jiz pravdepodobne ma heslo na roota a dva o
byc. uzivatele (byly zapsany v /dev/ttypz). Zadne skody jsme zatim neobjevil
i (ale vime o tom jen asi 20 minut).

Jelikoz je to poprve, co se nam neco podobneho stalo, chtel bych se zeptat,
jak mame postupovat. Pomuze nam spoluprace s providerem pri hledani, odkud s
e sem dostal? Co mame vsechno zakazat?

Meli sme ssh s pristupem odevsad, wu-ftpd, squid, apache, postgresql 7.0.2 s
pritupem omezenym jen na nasi LAN, pop3, sendmail. Vsechno jsou verze z RH6.
1CZ. Kernel 2.2.14.

Preventivne jsem zakazal prihlasovani pres SSH z venku, ale nejsem o ucinnos
ti tohoto kroku presvedcen. Jeste shodim wu-ftpd, vic asi nemuzu.

HELP!

--
S pozdravem

Jirka "Eagle" Novak
Registered Linux user #173581
eagle na unicode.cz




Další informace o konferenci Linux