sslug-teknik team mailing list archive

[storner@xxxxxxxx]

In <Pine.LNX.4.10.10001080338230.4990-100000@xxxxxxxxxxxx> Mads Bondo Dydensborg <madsdyd@xxxxxxxxxxxx> writes:

>Jeg er blevet cracket og jeg ved at andre også er det.

>Kig efter et katalog kaldet kcl, f.eks. 
>/usr/lib/kcl

>Mine symptomer var dem jeg beskrev på sslug-teknik i går; named virkede
>ikke, kflush underlig, mv.

>Jeg ved ikke hvordan han kom ind. Nogen har nævnt dump() i kernen, eller
>noget, som en måde at komme ind på, men de maskiner jeg har hørt om har
>kørt henholdsvis 2.3.28 og 2.2.13 - jeg ved ikke om fejlen er begge
>steder.

Det er meget sjældent, at man kan få adgang til et system p.g.a. fejl i
selve Linux kernen. Der er næsten altid en eller anden service involveret,
som angriberne bruger for at skaffe sig adgang.

Det kunne være interessant at finde ud af, hvordan det er gået for sig.
Hvilke services har din maskine åbne udefra, hvilke versioner af software
bruger du osv. Er der firewall-regler aktive på maskinen, bruger du
tcp-wrappers ? Har du en fast forbindelse til nettet (fast IP adresse)
eller er det en dial-up forbindelse ?

Du kan evt. kontakte mig direkte, hvis du foretrækker ikke at offentlig-
gøre den slags informationer. storner@xxxxxxxx eller storner@xxxxxxx .
Samme tilbud er hermed givet til andre, der har haft ubudne gæster -
jeg vil ikke garantere, at vi kan finde ud af præcis hvad der er sket,
men jeg har en professionel interesse i at holde rede på, hvilke typer
angreb der er udbredte.

-- 
Henrik Storner     | "Software engineering is a race between engineers 
<storner@xxxxxxxx> |  who try to create foolproof software and the 
                   |  universe which is trying to create bigger fools.
                   |  So far, the universe is winning..."