hacknuto: user cgi s pravy roota
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Středa Březen 28 02:34:24 CEST 2001
On Tue, 27 Mar 2001, Libor wrote:
> Přišel jsem na to jen díky tomu, že "se" mi zablokovala na serveru
> všechna konta.
Budte rad, ze byli tak hodni a upozornili na sebe sami.
> tar -zxvf psyBNC2.2.1.tar.gz
Jeje, tenhle program znam. Nejaky sasek se tu jednou naboril na jeden
uzivatelsky ucet (na 99 % nekde ukradnul heslo) a pak to zkousel
nainstalovat. Ale byl to pekny blbec, protoze mu ta kompilace na necem
trivialnim lehla a on to hned vzdal. :)
Tusim, ze ten program byl nejaky flooder. Mam dojem, ze pres Google lze
najit nejake informace.
> Vypadá to na kompletní přeinstalaci.
Nejen to. Preinstalace + updaty + konfiguracni upravy.
> Může mě někdo nakopnout jak se tam bad boy mohl dostat.
Vselijak. Take se mohl dostat na nejaky uzivatelsky ucet (treba jako ve
vyse popsane story) a pak exploitnout neco lokalne.
> PAMpwdb[...] (su) session opened for user news (uid=0), což taky
> určitě není v pořádku.
To mozna je, jestli tam mate innd nebo podobnou zrudu.
> Jak zjistit jestli se nedostal na další mašiny v síti (.rhost) tam nejsou.
Kazdou dalsi masinu shodit, nabootovat z duveryhodneho media a dukladne
prozkoumat?
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux