Podozrenie z utoku ?
Jan Marek
jmarek na pf.jcu.cz
Úterý Srpen 22 14:19:41 CEST 2000
Dobry den,
Juraj Hajka wrote:
>
> Mam podozrenie z utoku na server s Redhat 6.2
:-( To vam nezavidim...
>
> [root na mail4 /]# ll
> total 84
> -rw------- 1 root root 32096 Jun 7 04:35 500
Tohle je dost nestandardni soubor, vetsinou se v root-u
nevyskytuje: zkontrolujte ho, co obsahuje a pripadne vymazte...
> drwxr-xr-x 2 root root 2048 Jul 10 23:56 bin
> drwxr-xr-x 3 root root 1024 Aug 22 10:58 boot
> drwxr-xr-x 6 root root 34816 Aug 22 10:58 dev
> drwxr-xr-x 37 root root 4096 Aug 22 10:58 etc
> drwxr-xr-x 105 root root 4096 Aug 21 11:28 home
> drwxr-xr-x 4 root root 3072 Jun 7 04:53 lib
> drwxr-xr-x 2 root root 12288 Jun 20 09:39 lost+found
> drwxr-xr-x 2 root root 0 Aug 22 10:58 misc
> drwxr-xr-x 6 root root 1024 Oct 9 1998 mnt
> drwxr-xr-x 2 root root 1024 Aug 23 1999 opt
> dr-xr-xr-x 58 root root 0 Aug 22 2000 proc
> drwxr-x--- 12 root root 1024 Aug 22 11:10 root
> drwxr-xr-x 3 root root 3072 Jul 10 23:56 sbin
> drwx------ 4 711 users 1024 Jul 10 23:56 spsn
> drwxrwxrwt 4 root root 1024 Aug 22 11:34 tmp
> drwxr-xr-x 22 root root 4096 Jul 31 10:19 usr
> drwxr-xr-x 21 root root 1024 Aug 4 08:48 var
> [root na mail4 /]# cd spsn
> [root na mail4 /spsn]# ll
> total 317
> drwxr-xr-x 2 root root 1024 Jun 27 12:59 dev
Tady by bylo asi dost zajimavy kouknout i do tohohle adresare a
zkontrolovat, zda jeho obsah nahodou neni prekopirovany do /dev
> -rwxr-xr-x 1 root root 5631 Jun 14 01:35 pg
Tenhle soubor by taky mohl obsahovat zajimave informace...
> -rwxr-xr-x 1 root root 211856 Jun 17 05:07 ssh.tgz
> -rwxr-xr-x 1 root root 7382 Jul 9 19:52 t0rn
Taktez tento soubor, pokud samozrejme nebude binarni...
> -rwxr-xr-x 1 root root 94542 May 5 22:35 tcpd.rpm
>
No: co dodat? Budete mit dobrou zabavu :-(... Jestli se da verit
tomu, co ten dotycny zanechal ve svem "nenapadnem" (sic!!!)
adresari, tak bych rozhodne preinstaloval ssh-cko a tcpd (to jako
prvni krok, aby se nahodou vase hesla, ktera v dobre vire, ze
jsou kodovana, zasilate pres ssh, nedostala do ruky utocnikovi).
Posleze okamzite zmente heslo pro roota. Dale je treba
zkontrolovat /etc/passwd, zda tam nahodou nema nejaky uzivatelik
uid=0. Zajimavy pohled muze tez prinest /etc/inetd.conf (kdyz si
nainstaloval vlastni tcpd, bude ho zrejme i vyuzivat...)
Nu a dalsi informace bych asi hledal na serveru underground.cz,
kde byla serie clanku o tom, co delat po hacknuti.
Jiste zajimave bude zjisteni, co posloucha na vasem sitovem
interface a co je to opravdu za daemony apod.
Jo a jako prvni bych ten pocitac vyrval (samozrejme slusne,
nemusite trhat konektor :-)))) z pocitacove site, at si uzivatele
protestuji sebehlasiteji...
Zdravi
Jan Marek
--
Ing. Jan Marek
mailto:jmarek na email.cz, tel.:038/777 30 72
Pedagogical Faculty of University of South Bohemia
Jeronymova 10, 370 01 Ceske Budejovice
Motto: Kazda snaha bude po zasluze potrestana: z Murphyho zakonu
Další informace o konferenci Linux