sslug-teknik team mailing list archive

Thread
Date

Re: hacker-probe fra Japan?

To: sslug-teknik@xxxxxxxx
From: storner@xxxxxxxx
Date: 29 Jan 1999 22:32:09 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Linux Users Inc. - http://www.image.dk/~storner/
Reply-to: sslug-teknik@xxxxxxxx

In <Pine.OSF.3.95.990129155517.18573M-100000@xxxxxxxxxx> Nikolaj Berntsen <berntsen@xxxxxxxxxx> writes:

>Scannede mine log-filer lige nu. Så flg.:

>dune:
>/var/log/maillog.1:Jan 20 11:47:01 dune sendmail[11231]:
>apricot.medes.m.u-tokyo.ac.jp [130.69.109.85]: expn root
>/var/log/secure.1:Jan 20 11:46:55 dune in.ftpd[11226]: connect from
>apricot.medes.m.u-tokyo.ac.jp

Helt klart en, der leder efter brugernavne for at prøve at få
adgang til maskinen. Der er INGEN mail-servere, der bruger EXPN
(expand) kommandoen til noget i normal drift. Det er med 99,9%
sikkerhed en, der har tastet kommandoerne ind i hånden.

["expn root" er et forsøg på at finde ud af, hvilken bruger-id
 der modtager mail sendt til 'root' - man kan normalt ikke logge
 ind som root, men med 'expn root' kan man nogen gange få et andet
 login-navn, der så kan anvendes i stedet]

Jeg ville checke at dit system har de seneste sikkerheds-updates
installeret, evt. opgradere til sendmail 8.9.2 hvis ikke du
allerede har det. Luk for unødvendige services - f.eks. telnet,
brug ssh i stedet.

Og fyr lidt brok afsted til en passende postmaster adresse hos
universitetet i Tokyo (postmaster@xxxxxxxxxxxxx)

-- 
Henrik Storner     | "Software engineering is a race between engineers 
<storner@xxxxxxxx> |  who try to create foolproof software and the 
                   |  universe which is trying to create bigger fools.
                   |  So far, the universe is winning..."

References

hacker-probe fra Japan?
From: Nikolaj Berntsen, 1999-01-29