Prunik hackerem?

[Radovan Garabik]

Michal Belicek <belicek na asset.sk> wrote:
 : Redhat 6.0
 : Setkal se nekdo s tim, ze po uspesnem prihlaseni do systemu (konzole,
 : telnet) ho masina hned vykopla ven, i roota? Napsalo se akorat you have mail
 : a hned dalsi bylo You was disconnected.

Videl som to... po tom ako root napisal mkswap /dev/hda2, pricom zabudol
predtym dat swapoff. Celkom zaujimavo to prepisalo zaciatok /dev/hda1,
fsck to opravil ked sa mu zadal zalozny superblock, ale login prestal
fungovat. Pomohlo preinstalovat login, pam, bash, glibc (pre istotu som ich
preinstaloval naraz)

 : Zkopirovali jsme /bin/login z jine masiny a uz se lze prihlasit normalne.
 : Napada me prunik hackera spojeny s nasazenim modifikovane verze loginu se
 : zamerem odchytavat hesla. Take jsme nasli v logach stopy typu web1 open
 : session as uid 0 a web2 open session as uid 0 ve 03:00 rano.

Cize to nebol moj pripad, ale naozaj hacker :-)

 : Asi to fakt byl hacker. Okamzite jsme masinu shodili z netu a zmenili
 : vsechna hesla v systemu. Ale clovek si neni nikdy jisty, co byste jeste
 : radili udelat? Jak najit pripadne trojske kone?

Preinstalovat. Ak bol hacker schopny, trojske kone je velmi tazke najst
(ale schopny nebol kedze po nom zostal zaznam v logu)

-- 
 -----------------------------------------------------------
| Radovan Garabik http://melkor.dnp.fmph.uniba.sk/~garabik/ |
| __..--^^^--..__    garabik @ melkor.dnp.fmph.uniba.sk     |
 -----------------------------------------------------------
Antivirus alert: file .signature infected by signature virus.
Hi! I'm a signature virus! Copy me into your signature file to help me spread!