Podozrenie z utoku ?

Jan Marek jmarek na pf.jcu.cz
Úterý Srpen 22 14:19:41 CEST 2000


Dobry den,

Juraj Hajka wrote:
> 
> Mam podozrenie z utoku na server s Redhat 6.2

:-( To vam nezavidim...

> 
> [root na mail4 /]# ll
> total 84
> -rw-------   1 root     root        32096 Jun  7 04:35 500

Tohle je dost nestandardni soubor, vetsinou se v root-u
nevyskytuje: zkontrolujte ho, co obsahuje a pripadne vymazte...

> drwxr-xr-x   2 root     root         2048 Jul 10 23:56 bin
> drwxr-xr-x   3 root     root         1024 Aug 22 10:58 boot
> drwxr-xr-x   6 root     root        34816 Aug 22 10:58 dev
> drwxr-xr-x  37 root     root         4096 Aug 22 10:58 etc
> drwxr-xr-x 105 root     root         4096 Aug 21 11:28 home
> drwxr-xr-x   4 root     root         3072 Jun  7 04:53 lib
> drwxr-xr-x   2 root     root        12288 Jun 20 09:39 lost+found
> drwxr-xr-x   2 root     root            0 Aug 22 10:58 misc
> drwxr-xr-x   6 root     root         1024 Oct  9  1998 mnt
> drwxr-xr-x   2 root     root         1024 Aug 23  1999 opt
> dr-xr-xr-x  58 root     root            0 Aug 22  2000 proc
> drwxr-x---  12 root     root         1024 Aug 22 11:10 root
> drwxr-xr-x   3 root     root         3072 Jul 10 23:56 sbin
> drwx------   4 711      users        1024 Jul 10 23:56 spsn
> drwxrwxrwt   4 root     root         1024 Aug 22 11:34 tmp
> drwxr-xr-x  22 root     root         4096 Jul 31 10:19 usr
> drwxr-xr-x  21 root     root         1024 Aug  4 08:48 var
> [root na mail4 /]# cd spsn
> [root na mail4 /spsn]# ll
> total 317
> drwxr-xr-x   2 root     root         1024 Jun 27 12:59 dev

Tady by bylo asi dost zajimavy kouknout i do tohohle adresare a
zkontrolovat, zda jeho obsah nahodou neni prekopirovany do /dev

> -rwxr-xr-x   1 root     root         5631 Jun 14 01:35 pg

Tenhle soubor by taky mohl obsahovat zajimave informace...

> -rwxr-xr-x   1 root     root       211856 Jun 17 05:07 ssh.tgz
> -rwxr-xr-x   1 root     root         7382 Jul  9 19:52 t0rn

Taktez tento soubor, pokud samozrejme nebude binarni...

> -rwxr-xr-x   1 root     root        94542 May  5 22:35 tcpd.rpm
> 

No: co dodat? Budete mit dobrou zabavu :-(... Jestli se da verit
tomu, co ten dotycny zanechal ve svem "nenapadnem" (sic!!!)
adresari, tak bych rozhodne preinstaloval ssh-cko a tcpd (to jako
prvni krok, aby se nahodou vase hesla, ktera v dobre vire, ze
jsou kodovana, zasilate pres ssh, nedostala do ruky utocnikovi).
Posleze okamzite zmente heslo pro roota. Dale je treba
zkontrolovat /etc/passwd, zda tam nahodou nema nejaky uzivatelik
uid=0. Zajimavy pohled muze tez prinest /etc/inetd.conf (kdyz si
nainstaloval vlastni tcpd, bude ho zrejme i vyuzivat...)

Nu a dalsi informace bych asi hledal na serveru underground.cz,
kde byla serie clanku o tom, co delat po hacknuti.

Jiste zajimave bude zjisteni, co posloucha na vasem sitovem
interface a co je to opravdu za daemony apod.

Jo a jako prvni bych ten pocitac vyrval (samozrejme slusne,
nemusite trhat konektor :-)))) z pocitacove site, at si uzivatele
protestuji sebehlasiteji...

Zdravi
Jan Marek
--
Ing. Jan Marek
mailto:jmarek na email.cz, tel.:038/777 30 72
Pedagogical Faculty of University of South Bohemia
Jeronymova 10, 370 01 Ceske Budejovice
Motto: Kazda snaha bude po zasluze potrestana: z Murphyho zakonu


Další informace o konferenci Linux