RH9 hacked :(

[Pavel Kankovsky]

On Mon, 25 Aug 2003, Pavel Kratina wrote:

> Avsak mam velky problem s prikazem /sbin/init :(
> vzdy kdyz jej zavolam z konzole ohlasi
> 
> /dev/null
> FUCK: Can't find sys_call_table[]
> to mi taky prijde divny, ze by pouzivaly v RHL takovy vyrazy :)))

Reknu Vam presne, co tohle znamena: v /sbin/init je nejaky rootkit, ktery 
se snazi za chodu upravit jadro. Jenze asi mu to ne uplne povede (podle
hlasky je mozna zmateny z toho, ze novejsi verze jader od RH jsou dosti
skoupe na exportovane symboly z jadra).

> kazdopadne ho nemohu opravit , "smazat", reinstalovat..... i pri
> reinstalasi SysVinit-2.84-13.i386.rpm mam permission denied.

Dalsi duvod si myslet, ze je tam rootkit. Bud se mu prece jen to jadro
aspon trochu podarilo "vylepsit", nebo (coz je mozna pravdepodobnejsi)
nastavil na nekterych souborech bit immutable.

> Help jak na to anihz bych musel cely system reinstalovat.

Jestli Vam nevadi, ze je ten system nabourany tak dukladne, ze i znalec by
to spravoval aspon mesic a stejne si nebyl jisty, jestli uz to opravdu
vsechno vycistil...

Jina vec je, ze kdyz to budete muset instalovat znova, tak si to treba
budete poradne pamatovat a priste si date pozor. ;)

PS: takova rada jak instalovat bezpecne: 1. instalaci provadet bez
zapojene site, 2. vypnout vsechny sluzby (idealne by po tomto kroku na
pocitaci nemelo nic poslouchat; sit je stale odpojena), 3. instalovat
vsechny patche, pokud je chcete instalovat ze site, tak ji ted muzete
zapnout, 4. aktivovat prave a pouze ty sluzby, ktere jsou potreba.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."