hacknuto: user cgi s pravy roota

[Marcel Kolaja]

On Tue, 27 Mar 2001, Libor wrote:

> a to se mi stalo na serveru (dial-up) se standartním RH 6.2.CZ

To se ani moc nedivím.

> V /home/cgi/ jsem našel (naštěstí) následující .bash_history :
> 
> ftp ftp.tripod.com
> ls
> tar -zxvf ark-1.0.tar.gz
> rm -rf ark-1.0.tar.gz
> cd ark-1.0/
> ./ark muiegrasa
> cd
> cd /root
> rm -rf ark-1.0/
> tar -zxvf psyBNC2.2.1.tar.gz
> cd psybnc/
> make
> 
> Zná někdo volané programy? Tam se zřejmě dělo velice moc.

Jo. Koukám, že ten psyBNC je nějaká oblíbená věc poslední dobou :-) Je to
nějaký IRC Relaying server či co. Něco o tom je určitě k nalezení na
googlu.

> Vypadá to na kompletní přeinstalaci.

Pokud na tom serveru neběželo moc věcí a nebude reinstalace moc náročná,
tak asi jo.

> Může mě někdo nakopnout jak se tam bad boy mohl dostat. 

Co Vám tam běželo za služby? Třeba wu-ftpd?

> Je to teda smršť - spíš bych prosil o radu, kam se podívat, co hledat
> jak odhalit slabinu, a jak ji zalepit.

nmapnout si stroj, jestli tam neběží něco navíc. Zkontrolovat databázi rpm
(takové to rpm -Va nebo jak se to dělá). Vyhledat všechny adresáře, které
začínají tečkou, ... (spoustu věcí :-)).

> Libor


S pozdravem

Marcel Kolaja                     http://www.fi.muni.cz/~xkolaja/
NLPlab FI MU                               http://nlp.fi.muni.cz/
-----------------------------------------------------------------
            "MS is a lot better at making money than
            it is at making good operating systems."
                         Linus Torvalds
*****************************************************************
*          Petition For A Software Patent Free Europe           *
*                http://petition.eurolinux.org/                 *
*****************************************************************