Divny log, Hackli nas?
Zkoumalek
zkoumalek na seznam.cz
Úterý Červenec 2 16:38:04 CEST 2002
Dobry den.
Kontroloval jsem po delsi dobe server a zjistil jsem, ze mi na
serveru chybi soubor /var/log/messages. Vytvoril jsem ho a po dalsim
zkoumani jsem zjistil, ze mi syslog loguje vse krome hlasek do
messages, restartoval jsem syslog a vse se zaclo logovat normalne.
Zjistil jsem, ze jsem byl asi 4 dny bez zprav v messages. Kdyz jsem
prochazel hlasky v poslednim logu, tak jsem nasel toto:
sshd[6499]: Did not receive ident string from 127.0.0.1
telnetd[6501]: ttloop: reaed: Broken Pipe
hlasky se nekolikrat opakovaly. Rovnez se nekdo snazil dostat na
pocitac pres FTP a posilat pres nas pocitac maily. To se mu
nepodarilo.
Kdyz jsem se porozhledl po serveru jeste jednou, tak jsem nasel v
netstatu toto:
bnc irc TCP *:11666 (LISTEN)
A kdyz jsem hledal soubor(y) nebo neco s bnc, tak jsem nic nenasel. V
procesech jsem nasel proces bnc bezici pod uzivatelem irc, ktery mel
jako cestu ./bnc. Proces jsem zabil.
Zadne dalsi veci tykajici se podivne aktivity se mi nepodarilo
nalezt.
Mam velke podezreni, ze je nas server hacknut. Muze mi nekdo poradit,
co se da delat? Nechapu, jak se tam mohl dostat ten proces bnc, kdyz
jsem ho na disku nesasel.
Mam SuSE linux 7.1 CZ, bezi mi tu bezi postfix-20010228-pl05
kompilovany s podporou SASL, apache-1.3.17-0, bind8-8.2.3-92.
Mate nejake tipy, jak zjistit rozsah skod, co vsechno utocnik
natropil?
Predem dekuju za pomoc
T.
Zkoumalek
______________________________________________________________________
Reklama:
WWW stranky zdarma na http://www.sweb.cz
Další informace o konferenci Linux