hacknuto: user cgi s pravy roota

[Pavel Kankovsky]

On Tue, 27 Mar 2001, Libor wrote:

> Přišel jsem na to jen díky tomu, že "se" mi zablokovala na serveru
> všechna konta.

Budte rad, ze byli tak hodni a upozornili na sebe sami.

> tar -zxvf psyBNC2.2.1.tar.gz

Jeje, tenhle program znam. Nejaky sasek se tu jednou naboril na jeden
uzivatelsky ucet (na 99 % nekde ukradnul heslo) a pak to zkousel
nainstalovat. Ale byl to pekny blbec, protoze mu ta kompilace na necem
trivialnim lehla a on to hned vzdal. :)

Tusim, ze ten program byl nejaky flooder. Mam dojem, ze pres Google lze
najit nejake informace.

> Vypadá to na kompletní přeinstalaci.

Nejen to. Preinstalace + updaty + konfiguracni upravy.

> Může mě někdo nakopnout jak se tam bad boy mohl dostat. 

Vselijak. Take se mohl dostat na nejaky uzivatelsky ucet (treba jako ve
vyse popsane story) a pak exploitnout neco lokalne.

> PAMpwdb[...] (su) session opened for user news (uid=0), což taky 
> určitě není v pořádku.

To mozna je, jestli tam mate innd nebo podobnou zrudu.

> Jak zjistit jestli se nedostal na další mašiny v síti (.rhost) tam nejsou.

Kazdou dalsi masinu shodit, nabootovat z duveryhodneho media a dukladne
prozkoumat?

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."