sslug-teknik team mailing list archive

Thread
Date

Santy orm

To: sslug-teknik@xxxxxxxx
From: Jesper Lund <jesper@xxxxxxxxxxxxxx>
Date: Mon, 27 Dec 2004 00:07:44 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm

Hej Folkens

Jeg er den heldige vinder af en Santy orm. Den angriber phpBB2 i
versioner fra før 2.0.10. Jeg har en bruger der ikke havde opdateret
det, og derfor er jeg nu på spanden.

Da jeg ikke endnu har fjernet den, kører den stadig. Jeg kan ikke se
noget med ps, top eller chrootkit (Det havde jeg heller ikke
forventet). Men min firewall foran den har jeg blokeret for
maskinens adgang til Internet, og i loggen kan jeg læse at den
forsøger at snakke med 	66.151.150.12 på port 2703 TCP.

Med netstat -an kan jeg se at den har sendt en SYN pakke til 
66.151.150.12 og at tcp forbindelsen ikke er blevet oprettet.

Men kan jeg ikke på en eller anden måde se hvilken process det er
der forsøger at snakke med den pågældende IP, og har sent den SYN
pakke jeg har logget i min firewall ?

Firewallen er en IPTables firewall, men det er egentligt
underordnet.

Mvh. Jesper

Follow ups

Re: Santy orm
From: Hasse Hagen Johansen, 2004-12-26