sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #25965
Hacket
Hejsa.
Jeg mener med rimelig grund at kunne sige, at nogen har hacket min hyggeserver.
Den lavede "sære ting" (overførte tilsyneladende data over NFS, hvis det da
er det, sunrpc betyder), og jeg kunne ikke stoppe det ved at kille
portmapper og nfsd. I panik lavede jeg en reboot (farvel 107 dages oppetid
*snøft*), og da den kom op, var tingene tilsyneladende normalt. 'users'
kommandoen afslørede ikke noget mistænkeligt, før jeg rebootede.
Nu er /.bash_history lavet til et symlink til /dev/null, og jeg kan finde
linier som disse er dukket op i min security-log:
Aug 8 20:01:28 penguin in.telnetd[1573]: connect from 195.167.6.98
Aug 8 21:25:17 penguin in.telnetd[2373]: connect from 195.1.216.185
Aug 8 21:25:23 penguin ipop3d[2376]: connect from 195.1.216.185
Dog uden efterfølgende login-entries. De ovenstående IP-numre har jeg
absolut intet med at gøre, og kan se at de hører hjemme i Grækenland.
Lyder det ikke som om at jeg er blevet hacket, og bør geninstallere min
box, så jeg får evt. binære bagdøre vasket ud?
--
Med venlig hilsen / Best regards
Daniel Stjernholm Andersen aka Skumling - skumling@xxxxxxxxxxxx
Rugmarken 52, DK-9690 Fjerritslev - http://skumlenet.dk/
tlf. (+45) 9650 0022 - fax. (+45) 9650 0023 - mobil (+45) 2020 3022
Follow ups