sslug-teknik team mailing list archive

Thread
Date

Re: Jeg er blevet cracket

To: sslug-teknik@xxxxxxxx
From: Mads Bondo Dydensborg <madsdyd@xxxxxxxxxxxx>
Date: Sat, 8 Jan 2000 18:02:06 +0100 (CET)
Cc: sslug-sikkerhed@xxxxxxxx
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <8572ld$2ti$1@osiris.storner.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

On 8 Jan 2000 storner@xxxxxxxx wrote:

> >Jeg ved ikke hvordan han kom ind. Nogen har nævnt dump() i kernen, eller
> >noget, som en måde at komme ind på, men de maskiner jeg har hørt om har
> >kørt henholdsvis 2.3.28 og 2.2.13 - jeg ved ikke om fejlen er begge
> >steder.
> 
> Det er meget sjældent, at man kan få adgang til et system p.g.a. fejl i
> selve Linux kernen. Der er næsten altid en eller anden service involveret,
> som angriberne bruger for at skaffe sig adgang.

Enig - jeg nævnte blot at andre havde nævnt dump for mig, men da det er to
meget forskellige kerner tror jeg ikke rigtigt på det.

> Det kunne være interessant at finde ud af, hvordan det er gået for sig.
> Hvilke services har din maskine åbne udefra, hvilke versioner af software
> bruger du osv. Er der firewall-regler aktive på maskinen, bruger du
> tcp-wrappers ? Har du en fast forbindelse til nettet (fast IP adresse)
> eller er det en dial-up forbindelse ?

RedHat 6.1 med alle updates (pr. torsdag, da vi blev taget). lpd og
sendmail kørende, som du noterede. I tcp wrapper fra kendte hosts kørte
ftp, telnet, rsh, pop-3, imap og cvsserver.

Updates der ikke var applied i torsdags var år 2000 fixes usermode og lpr. 
Resten var enten applied, eller de pakker ikke installeret på serveren.

> Du kan evt. kontakte mig direkte, hvis du foretrækker ikke at offentlig-
> gøre den slags informationer. storner@xxxxxxxx eller storner@xxxxxxx .

Jeg tror alle har en interesse i at snakke om den slags.

> Samme tilbud er hermed givet til andre, der har haft ubudne gæster -
> jeg vil ikke garantere, at vi kan finde ud af præcis hvad der er sket,
> men jeg har en professionel interesse i at holde rede på, hvilke typer
> angreb der er udbredte.

Jeg har en komplet backup af / (undtagen /home) liggende. Hvis du har
nogen spørgsmål er jeg villig til at give dig adgang til den. Jeg har en
personlig interesse i at finde ud af hvordan han kom ind.

Tak,

Mads

-- 
Mads Bondo Dydensborg.                               madsdyd@xxxxxxxxxxxx
Remember, never ask a geek "why"; just nod your head and back away slowly...

Follow ups

Re: Jeg er blevet cracket
From: Simon Lodal, 2000-01-09

References

Re: Jeg er blevet cracket
From: storner, 2000-01-08