Podozrenie z utoku ?

[Petr Novotny]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 22 Aug 2000, at 14:03, Juraj Hajka wrote:

> Mam podozrenie z utoku na server s Redhat 6.2

Nekdo vam zapisoval do rootu (adresare /) a vy mate jen 
podezreni? :-)

> Zistenie. Nieje mozne pouzivat sluzby samba a ftp. ( povodne som si
> myslel ze je chyba vo wu-ftp  ale chcel som rozchodit sambu a ta robi
> to iste bolo riesene v konferencii ale bez vysledku) Komunikacia
> prebehne OK. Ale nakoniec vypise po zadani hesla passwd incorrect.

Hm. rpm -Va neco hlasi? (Budete mozna potrebovat spravnou 
databazi, pokud vam utocnik prepsal tu v /var/lib/rpm.)

> Sluzby mam spustene lokalne telnet a na Inete dns,web,mail,proxy a
> bolo aj ftp. adresar bol vytvoreny uzivatekom 711 zo skupiny users, v
> ktorom su dole uvedene subory. takeho uzivatela som vsak nikde
> nenasiel. Vdaka vopred za kazdu radu.

Podivejte se nejdriv na
http://www.redhat.com/support/errata/rh62-errata-security.html
a reknete, ktere z uvedenych fixu jste neaplikoval (remote root je 
tam ve wu-ftpd, local root je pres chybu v kernelu 2.2.14(?) a pres 
suidperl/mailx). Pak zkuste rpm -Va ze zname, nenaborene rpm 
databaze. A pak asi zjistite, ze bude nejlepsi zazalohovat data a 
preinstalovat pekne od podlahy.

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOaJftlMwP8g7qbw/EQLEXQCgwL+gZFelddy7Y4pl9Tm8+wt5he0AnjUn
QtntEaW+b7ZOWigkDxcWlmdS
=FOm3
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]