Zahadna vytaceni (ISDN, Linux SuSE 8.1)

[Jan Marek]

Dobry den,

On Fri, Jun 06, 2003 at 06:57:40AM +0000, Matus fantomas Uhlar wrote:
> Pavel Krpata <pavel.krpata na spika.cz> wrote:
> ->> -> dostal jsem se k nainstalovanemu systemu (instaloval nekdo jiny), ktery
> ->> -> slouzi jako ISDN dial-up firewall.
> ->>
> ->> chcete povedat hackoval niekto iny?
> -> 
> -> Taky me to napadlo, ale zadne priznaky hacku jsem nenasel. Je mi jasne ze si
> -> nikdy nemuzu byt na 100% jisty...
> 
> netvrdim ze je hacknuty niekym zvonka, ale je velka pravdepodobnost ze tam
> byvaly admin urobil nieco co by nemal.
> 
> ->> radsej ten system preinstalujte, podla mna sa tu deje nieco nekale...
> -> 
> -> Prave ze se deje neco nekaleho a nez se na to prislo, tak to stihlo jednomu
> -> cloveku udelat celkem vysoky ucet. Jak jsem rikal, instaloval to nekdo jiny,
> -> takze to v podstate neni muj problem, ale stejne by bylo zajimavy zjistit
> -> cim to bylo zpusobeny.

iptables -I OUTPUT -o ppp+ -j LOG

by nepomohlo?

Samozrejme by se to dale lepe specifikovat na zahajeni spojeni,
coz by stacilo... Takze nejak takto:

iptables -I OUTPUT -p tcp --syn -o ppp+ -j LOG
iptables -I OUTPUT -p udp -o ppp+ -j LOG

Mozna, ze by ze zacatku nebylo do veci toto:

iptables -N logdrop
iptables -A logdrop -j LOG
iptables -A logdrop -j DROP

iptables -I OUTPUT -o ppp+ -j logdrop

Tak by se zjistilo, jake pakety (zajimaji nas zdrojove a cilove
porty) zpusobuji vytoceni.

Dale prohlednout /etc/crontab, crontab -e root a podobne
periodicke veci...

Zdravi
Honza Marek
PS. omlouvam se, ze odpovidam na jinou zpravu, ale puvodni jsem
si uz smazal...
-- 
Ing. Jan Marek               | Nez mi poslete prilohu .doc, .xls 
University of South Bohemia  | nebo .ppt, prectete si, prosim,
Academic Computer Centre     | WWW stranku uvedenou na poslednim
Phone: +420-38-9032080       | radku signatury...
http://www.gnu.org/philosophy/no-word-attachments.cs.html