← Back to team overview

sslug-teknik team mailing list archive

bruger moof: mountd

 

Kære Folks,

Bruger moof har jeg også haft og idet jeg har flere forskellige maskiner,
hvoraf een nogle ikke var hacket fandt jeg at de var kommet gennem et hul
i mount dæmonen prøv (
find /var/log \! -type d -exec grep mount {} \;
)
Dvs. hvis man vil sikre sig bør man opgradere til en ny version af
nfs-dæmonerne eller slå nfs fra i inetd.conf.

Jeg kom i kontakt med folk på maskinen hvor mountd-angrebet var kommet fra
(på een af maskinerne kunne man se dette i log-filen). De fortalte at de
havde fået installeret en masse trojanske heste, men tilsyneladende havde
de ikke gjort det på mig (sporadisk checksums). Adderingen af selve bruger
moof virker automatiseret, det er måske kun hvis de har brugt kontoen til
noget at de installerer trojanske heste. 

Efterfølgende installerede jeg en netværkssniffer for at se hvilke
henvendelser der kom til mine maskiner og det var lidt hårrejsende hvor
mange uventede forespørgsler der kom, med forsøg på bla.
pop3,telnet,ftp,sendmail...

Happy Hacking (i ordets positive oprindelige betydning).
Nikolaj

--------------------------------------------------------------
| Ph.D. stud., cand.scient.				     |
| K. Nikolaj Berntsen					     |
| Office: Department of Structural Engineering and Materials |
|	  Technical University of Denmark		     |
|	  Building 118, room 152			     |
|	  DK-2800 Lyngby				     |
|	  Tel +45 4525 1769				     |
|	  Fax +45 4588 3282				     |
| Email:  knb@xxxxxxxxxx
|         berntsen@xxxxxx				     |
| URL:	  http://www.nbi.dk/~berntsen			     |
-------------------------------------------------------------