sslug-teknik team mailing list archive

Thread
Date

Hacket

To: teknik@xxxxxxxx
From: Daniel Stjernholm Andersen <dsa@xxxxxxxxxxxxx>
Date: Tue, 08 Aug 2000 22:48:00 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Delivered-to: teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

Hejsa.

Jeg mener med rimelig grund at kunne sige, at nogen har hacket min hyggeserver.

Den lavede "sære ting" (overførte tilsyneladende data over NFS, hvis det daer det, sunrpc betyder), og jeg kunne ikke stoppe det ved at killeportmapper og nfsd. I panik lavede jeg en reboot (farvel 107 dages oppetid*snøft*), og da den kom op, var tingene tilsyneladende normalt. 'users'kommandoen afslørede ikke noget mistænkeligt, før jeg rebootede.

Nu er /.bash_history lavet til et symlink til /dev/null, og jeg kan findelinier som disse er dukket op i min security-log:


Aug  8 20:01:28 penguin in.telnetd[1573]: connect from 195.167.6.98
Aug  8 21:25:17 penguin in.telnetd[2373]: connect from 195.1.216.185
Aug  8 21:25:23 penguin ipop3d[2376]: connect from 195.1.216.185

Dog uden efterfølgende login-entries. De ovenstående IP-numre har jegabsolut intet med at gøre, og kan se at de hører hjemme i Grækenland.

Lyder det ikke som om at jeg er blevet hacket, og bør geninstallere minbox, så jeg får evt. binære bagdøre vasket ud?


--
Med venlig hilsen / Best regards
  Daniel Stjernholm Andersen aka Skumling - skumling@xxxxxxxxxxxx
  Rugmarken 52, DK-9690 Fjerritslev - http://skumlenet.dk/
  tlf. (+45) 9650 0022 - fax. (+45) 9650 0023 - mobil (+45) 2020 3022

Follow ups

Re: Hacket
From: Henrik St�, 2000-08-08