sslug-teknik team mailing list archive

Thread
Date

Re: Hackerangreb!

To: sslug-teknik@xxxxxxxx
From: Troels Arvin <tarvin@xxxxxxxxx>
Date: Fri, 05 Mar 1999 23:39:28 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: FSR
Reply-to: sslug-teknik@xxxxxxxx

Morten Sørensen wrote:
> Jeg kan ikke se noget i logfiler!?!?
Kan være slettet af hackeren.

Hvad med ftp-loggen?

> Håber noget kan fortælle hvor jeg evt. skulle lede efter spor..
Hvis der er tale om Red Hat, kan du prøve at køre følgende:
rpm -Va >rpm-status

Herefter vil du i rpm-status kunne finde en liste over filer, som er blevet
ændret i forhold til den oprindelige installation. På en normal maskine vil
dette resultere i en del filer, hvilket er normalt (fx. vil /etc/passwd
altid være ændret siden installationen, for man har jo oprettet nye
brugere).

Hvis jeg var dig, ville jeg dog re-installere hele dynen. For hackeren kan
jo have erstattet alle mulige programmer, som man ikke tænker på; fx. kunne
RPM-programmerne i teorien være udskiftet med nogle, som bevidst ikke
afslørede vigtige systemændringer.

Havde I alle officielle updates til jeres system installeret?

-- 
Troels Arvin
Copenhagen, Denmark
http://www.mdb.ku.dk/tarvin/

References

Hackerangreb!
From: Morten Sørensen, 1999-03-05