Divny log, Hackli nas?
Svec Richard
alyosha na dynacom.sk
Úterý Červenec 2 16:57:43 CEST 2002
Hello,
> Kontroloval jsem po delsi dobe server a zjistil jsem, ze mi na
> serveru chybi soubor /var/log/messages. Vytvoril jsem ho a po dalsim
> zkoumani jsem zjistil, ze mi syslog loguje vse krome hlasek do
> messages, restartoval jsem syslog a vse se zaclo logovat normalne.
> Zjistil jsem, ze jsem byl asi 4 dny bez zprav v messages. Kdyz jsem
> prochazel hlasky v poslednim logu, tak jsem nasel toto:
>
> sshd[6499]: Did not receive ident string from 127.0.0.1
> telnetd[6501]: ttloop: reaed: Broken Pipe
>
> hlasky se nekolikrat opakovaly. Rovnez se nekdo snazil dostat na
> pocitac pres FTP a posilat pres nas pocitac maily. To se mu
> nepodarilo.
> Kdyz jsem se porozhledl po serveru jeste jednou, tak jsem nasel v
> netstatu toto:
>
> bnc irc TCP *:11666 (LISTEN)
pouzite: netstat -anp, alebo lsof -ni - tak sa dostanete aj k nazvu binarky.
> A kdyz jsem hledal soubor(y) nebo neco s bnc, tak jsem nic nenasel. V
> procesech jsem nasel proces bnc bezici pod uzivatelem irc, ktery mel
> jako cestu ./bnc. Proces jsem zabil.
>
> Zadne dalsi veci tykajici se podivne aktivity se mi nepodarilo
> nalezt.
>
> Mam velke podezreni, ze je nas server hacknut. Muze mi nekdo poradit,
ano ... sudiac podla vymenovanych aplikacii utocnik mohol vyuzit
dost cerstvu chybu v apache, alebo v sshd. Pokial pouzivate openssh potom je
doporucene upgradovat na verziu 3.4. A apache na verziu 1.3.26 resp. pouzite
opravne baliky z RH.
> co se da delat? Nechapu, jak se tam mohl dostat ten proces bnc, kdyz
> jsem ho na disku nesasel.
> Mam SuSE linux 7.1 CZ, bezi mi tu bezi postfix-20010228-pl05
> kompilovany s podporou SASL, apache-1.3.17-0, bind8-8.2.3-92.
>
> Mate nejake tipy, jak zjistit rozsah skod, co vsechno utocnik
> natropil?
Na take veci je dobre pouzivate nejaku formu IDS. V tejto chvili by bolo
najistejsie reinstalovat. Na kontrolu integrity sa da pouzit aj rpm -Va
ale na to by som sa velmo nespoliehal.
--
.-----.--.--.--.-----.------.--.--.-----.
| - | | | | | | ----' | | - |
| | | `--. | | ,---- | | | | |
`--`--`-----`--`-----`------`--`--`--`--'
-----------------------------------------
-=<o> mailto:AlYoSHA na dynacom.sk <o>=-
-----------------------------------------
The secret of flying is simple:
Throw yourself at the ground and miss.
Další informace o konferenci Linux