Divny log, Hackli nas?

Svec Richard alyosha na dynacom.sk
Úterý Červenec 2 16:57:43 CEST 2002 

Hello,

> Kontroloval jsem po delsi dobe server a zjistil jsem, ze mi na
> serveru chybi soubor /var/log/messages. Vytvoril jsem ho a po dalsim
> zkoumani jsem zjistil, ze mi syslog loguje vse krome hlasek do
> messages, restartoval jsem syslog a vse se zaclo logovat normalne.
> Zjistil jsem, ze jsem byl asi 4 dny bez zprav v messages. Kdyz jsem
> prochazel hlasky v poslednim logu, tak jsem nasel toto:
> 
> sshd[6499]: Did not receive ident string from 127.0.0.1
> telnetd[6501]: ttloop: reaed: Broken Pipe
> 
> hlasky se nekolikrat opakovaly. Rovnez se nekdo snazil dostat na
> pocitac pres FTP a posilat pres nas pocitac maily. To se mu
> nepodarilo.
> Kdyz jsem se porozhledl po serveru jeste jednou, tak jsem nasel v
> netstatu toto:
> 
> bnc   irc   TCP *:11666 (LISTEN)

pouzite: netstat -anp, alebo lsof -ni - tak sa dostanete aj k nazvu binarky.

> A kdyz jsem hledal soubor(y) nebo neco s bnc, tak jsem nic nenasel. V
> procesech jsem nasel proces bnc bezici pod uzivatelem irc, ktery mel
> jako cestu ./bnc. Proces jsem zabil.
> 
> Zadne dalsi veci tykajici se podivne aktivity se mi nepodarilo
> nalezt.
> 
> Mam velke podezreni, ze je nas server hacknut. Muze mi nekdo poradit,

ano ... sudiac podla vymenovanych aplikacii utocnik mohol vyuzit 
dost cerstvu chybu v apache, alebo v sshd. Pokial pouzivate openssh potom je 
doporucene upgradovat na verziu 3.4. A apache na verziu 1.3.26 resp. pouzite
opravne baliky z RH.

> co se da delat? Nechapu, jak se tam mohl dostat ten proces bnc, kdyz
> jsem ho na disku nesasel.
> Mam SuSE linux 7.1 CZ, bezi mi tu bezi postfix-20010228-pl05
> kompilovany s podporou SASL, apache-1.3.17-0, bind8-8.2.3-92.
> 
> Mate nejake tipy, jak zjistit rozsah skod, co vsechno utocnik
> natropil?

Na take veci je dobre pouzivate nejaku formu IDS. V tejto chvili by bolo
najistejsie reinstalovat. Na kontrolu integrity sa da pouzit aj rpm -Va 
ale na to by som sa velmo nespoliehal.


-- 

 .-----.--.--.--.-----.------.--.--.-----.
 |  -  |  |  |  |  |  |  ----'  |  |  -  |
 |  |  |  `--.  |  |  ,----  |  |  |  |  |
 `--`--`-----`--`-----`------`--`--`--`--'
 -----------------------------------------
   -=<o> mailto:AlYoSHA na dynacom.sk <o>=-  
 -----------------------------------------
 The secret of flying is simple:
 Throw yourself at the ground and miss.

Další informace o konferenci Linux