logy pryc, pokus o prunik?
ondrej suchy
list na kyberdigi.cz
Čtvrtek Červen 1 18:37:51 CEST 2000
> ve /var/log/ jsem nasel vsechny logy mailoog, secure, ... jako link na
> /dev/null
> zustaly jen ty stare po rotaci
> nechodil squid, sendmail, inetd a mozna jeste dalsi
> nepomahaly restarty sluzeb
pokud mate misto logu link na /dev/null, je to temer jiste vysledek utoku
hackera, pominu-li nepravdepodobnou moznost, ze to je pozustatek po
nejakem stupidnim testovani programu ze strany neznaleho admina
> Nepomohl ani prvni reboot, tak jsem vytvoril ty zminene fajly, a po chvili
protoze byly prepsany logy, ktere maji normalne jako vlastnika roota,
znamena to, ze utocnik mel prava roota. reboot masiny to nevyresi,
pravdepodobne mate v systemu nejaka zadni vratka, i kdyz bych to
neodhadoval na moc zkuseneho hackera, ponevadz link na /dev/null je velice
pruhledna zalezitost a udela ji jen lamer.
obavam se, ze mate pred sebou dost prace, doporucuji se podivat na
dokument Incident Recovery nekde na strankach www.cert.org nebo podobne
rady v cestine v archivu serveru underground.cz (clanek se jmenoval tusim
"You have been hacked")
s pozdravem,
ondrej suchy
Další informace o konferenci Linux