Divny log, Hackli nas?

Michal Vymazal gandalf na mbox.vol.cz
Úterý Červenec 2 20:56:08 CEST 2002


Zkoumalek wrote:

> Dobry den.
> 
> Kontroloval jsem po delsi dobe server a zjistil jsem, ze mi na
> serveru chybi soubor /var/log/messages. Vytvoril jsem ho a po dalsim
> zkoumani jsem zjistil, ze mi syslog loguje vse krome hlasek do
> messages, restartoval jsem syslog a vse se zaclo logovat normalne.
> Zjistil jsem, ze jsem byl asi 4 dny bez zprav v messages. Kdyz jsem
> prochazel hlasky v poslednim logu, tak jsem nasel toto:
> 
> sshd[6499]: Did not receive ident string from 127.0.0.1
> telnetd[6501]: ttloop: reaed: Broken Pipe
> 
> hlasky se nekolikrat opakovaly. Rovnez se nekdo snazil dostat na
> pocitac pres FTP a posilat pres nas pocitac maily. To se mu
> nepodarilo.
> Kdyz jsem se porozhledl po serveru jeste jednou, tak jsem nasel v
> netstatu toto:
> 
> bnc   irc   TCP *:11666 (LISTEN)
> 
> A kdyz jsem hledal soubor(y) nebo neco s bnc, tak jsem nic nenasel. V
> procesech jsem nasel proces bnc bezici pod uzivatelem irc, ktery mel
> jako cestu ./bnc. Proces jsem zabil.
> 
> Zadne dalsi veci tykajici se podivne aktivity se mi nepodarilo
> nalezt.
> 
> Mam velke podezreni, ze je nas server hacknut. Muze mi nekdo poradit,
> co se da delat? Nechapu, jak se tam mohl dostat ten proces bnc, kdyz
> jsem ho na disku nesasel.
> Mam SuSE linux 7.1 CZ, bezi mi tu bezi postfix-20010228-pl05
> kompilovany s podporou SASL, apache-1.3.17-0, bind8-8.2.3-92.
> 
> Mate nejake tipy, jak zjistit rozsah skod, co vsechno utocnik
> natropil?
> 
> Predem dekuju za pomoc

To ostatni uz tu bylo receno. Takze si to dovolim shrnout. Reinstalovat, 
denne sledovat konference a zacit se zajimat o nejake to IDS. Hezoucky je 
treba snort.
-- 
Michal Vymazal
gandalf na mbox.vol.cz
Home Computer


Další informace o konferenci Linux