sslug-teknik team mailing list archive

Thread
Date

Re: Hacket

To: sslug-teknik@xxxxxxxx
From: henrik@xxxxxxxxxx (Henrik St�)
Date: 8 Aug 2000 23:27:47 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: Linux Users Inc.

In <4.2.0.58.20000808224055.03e297a0@xxxxxxxxxxxxxxxxxxxxxxxxxxxx> Daniel Stjernholm Andersen <dsa@xxxxxxxxxxxxx> writes:

>Den lavede "sære ting" (overførte tilsyneladende data over NFS, hvis det da 
>er det, sunrpc betyder), og jeg kunne ikke stoppe det ved at kille 
>portmapper og nfsd. I panik lavede jeg en reboot (farvel 107 dages oppetid 
>*snøft*), og da den kom op, var tingene tilsyneladende normalt. 'users' 
>kommandoen afslørede ikke noget mistænkeligt, før jeg rebootede.

Det lyder godt nok lidt suspekt. Hvad havde du dog også de services
kørende for i første omgang ? Men jo - et hul i rstatd er ret populært
at udnytte lige for tiden.

En skam at du gik i panik, og ikke fik lavet nogle opslag af hvilke
netforbindelser/processer/åbne filer, som var aktive. Det kunne have
gjort analysen mere grundig.

>Nu er /.bash_history lavet til et symlink til /dev/null

Jeg går ud fra at det ikke var sådan da du sidst kiggede efter ?

>og jeg kan finde linier som disse er dukket op i min security-log:

>Aug  8 20:01:28 penguin in.telnetd[1573]: connect from 195.167.6.98
>Aug  8 21:25:17 penguin in.telnetd[2373]: connect from 195.1.216.185
>Aug  8 21:25:23 penguin ipop3d[2376]: connect from 195.1.216.185

>Dog uden efterfølgende login-entries. De ovenstående IP-numre har jeg 
>absolut intet med at gøre, og kan se at de hører hjemme i Grækenland.

Kun det første. Det andet er fra Norge:

osiris:~ $ fwhois 195.1.216.185@xxxxxxxxxxxxxx

inetnum:     195.1.216.0 - 195.1.216.255
netname:     FCNORWAY-NO
descr:       FC Norway AS, Oslo
country:     NO
admin-c:     JOH4-RIPE
tech-c:      MA129-RIPE
status:      ASSIGNED PA
changed:     hostmaster@xxxxxxxxxxxxx 19970305
source:      RIPE

>Lyder det ikke som om at jeg er blevet hacket, og bør geninstallere min 
>box, så jeg får evt. binære bagdøre vasket ud?

Jo.

Og sørg så for at få installeret alle updates, lukket unødvendige
services, og evt. lige smækket nogle ipchains regler på.
-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor

Follow ups

Re: Hacket
From: Daniel Stjernholm Andersen, 2000-08-08

References

Hacket
From: Daniel Stjernholm Andersen, 2000-08-08