hack serveru ?

[Karel Zak]

On Tue, Jun 03, 2003 at 01:58:16PM +0200, Dalibor Straka wrote:
> On Mon, Jun 02, 2003 at 08:09:15PM +0200, mardon wrote:
> > Hello linux,
> > 
> >   mam problem
> >   vapada to ze muj server byl napaden
> >   doslo v adresari /bin ke zmene
> >   login
> >   netstat
> >   ls
> >   ps
> >   shad
> > 
> >   muzu se nejakvratit k puvodnimu stavu
> >   nejsem si zcela jista
> >   provadela jsem up2date ale tohle jsem urcite neupdatovala
> >   poradite mi jak se branit ???
> > 
> 
> Neumi RH neco jako debiani "apt-get install --reinstall jmeno_balicku"?
> Zatim vsechny rootkity, ktere jsem videl sly snadno odhalit, ze se ps
> forkuje a pocitac poslouchal na nejakem tom portiku navic. 
> "strace ps 2>&1|grep fork" to jisti, jakmile neco vrati tak mate
> problem. Dale je docela sranda nastavit temto programkum v /bin a
> /usr/bin a /sbin atd. lsattr +i, teda pokud pouzivate ext2. Je to docela
> sranda sledovat nejakyho hackera napul lamera, jak se snazi to prepsat a

 Ona doba trosku postoupila a modifikovat soubory je zbytecna prace,
 kdyz lze modifikovat kernel... To co rikate ma smysl na systemu kde
 mate jistotu, ze systemova volani delaji to co maji a tu jistotu
 budete mit jen tehdy udelate-li boot z nejakeho duveryhodneho kernelu
 a udelate mount duveryhodneho root filesystemu. Az pak maji smysl veci
 jako je kontrala integrity (checksum) souboru. Proto ruzna udelatka
 zamerena na tuto kontrolu jsou sama o sobe bez tohoto rebootu na
 nic..

 Ostatne uz se to zde drive debatovalo.

    Karel

-- 
 Karel Zak  <zakkr na zf.jcu.cz>
 http://home.zf.jcu.cz/~zakkr/