sslug-teknik team mailing list archive

[Daniel Stjernholm Andersen <dsa@xxxxxxxxxxxxx>]

At 23:27 08-08-00 +0200, you wrote:

Hejsa.

> Det lyder godt nok lidt suspekt. Hvad havde du dog også de services
> kørende for i første omgang ?

Det må du nok spørge om, jeg følte mig overbevist om at NFS ikke kørte :/

> En skam at du gik i panik, og ikke fik lavet nogle opslag af hvilke
> netforbindelser/processer/åbne filer, som var aktive. Det kunne have
> gjort analysen mere grundig.

Jeg har en stump tcpdump af, hvad der skete, hvis det kan være interessant 
- men den er meget kort.

> Jeg går ud fra at det ikke var sådan da du sidst kiggede efter ?

Bestemt ikke.

> Kun det første. Det andet er fra Norge:

Woups.

> Jo.

Der er ikke følsomme data på maskinen (langtfra), men er det korrekt at 
antage at vedkommende ikke har haft root-adgang? I så fald ville det vel 
være meget naturligt at "rydde op" i /var/log ?

> Og sørg så for at få installeret alle updates, lukket unødvendige
> services, og evt. lige smækket nogle ipchains regler på.

Helt klart, ipchains regler har der nu altid været, men jeg har altid kørt 
det med blacklisting i stedet for whitelisting. Bliver ting ikke meget mere 
omstændige, hvis man skal lave det med whitelisting?

--
Med venlig hilsen / Best regards
  Daniel Stjernholm Andersen aka Skumling - skumling@xxxxxxxxxxxx
  Rugmarken 52, DK-9690 Fjerritslev - http://skumlenet.dk/
  tlf. (+45) 9650 0022 - fax. (+45) 9650 0023 - mobil (+45) 2020 3022