sslug-teknik team mailing list archive

Thread
Date

Re: pakke rod på ubuntu server [HACKET]

To: sslug-teknik@xxxxxxxx
From: Peter Makholm <peter@xxxxxxxxxxx>
Date: Thu, 26 Feb 2009 09:17:02 +0100
Cancel-lock: sha1:hiuN9+Zn3HJOlR0eVzU9DlTX/+Y=
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG
User-agent: Gnus/5.110006 (No Gnus v0.6) Emacs/21.4 (gnu/linux)
Xyzzy: Nothing happens!

Atte André Jensen <atte@xxxxxxxxxxxxxx> writes:

> Ny trækker jeg strømmen på den. Er det noget der vil kunne repereres,
> eller hedder det frisk install (af debian)? Og vigtigst: kan man sige
> noget om hvordan det er sket og dermed hvordan jeg kan sikre mig i
> fremtiden?

Det virker i hvert fald meget klart som om du har ubudne gæster af
typen der ikke bare kan spises af med gevalia-kaffe. 

udp.pl er et ret primitivt script der bare sender en masse tilfældige
UDP-pakker til det angivne IP-nummer. blow.zip ser ud til at
indeholder værktøjer til at scanne netværkstrafik og cracke passwords.

Ingen af disse to værktøjer fortæller dog noget om hvordan angriberen
først har fået adgang til systemet eller hvordan han har tænkt sig at
vedligeholde adgangen. 

Der bliver oprettet to brugere men uid=0, altså reelt set
root-brugere. Disse er nok tiltænkt at opretteholde adgangen, men du
kan på ingen måde være sikker på at det er eneste bagdør der er
installeret på dit system. Den eneste måde du kan vide dig sikker på
at have rydet op er ved at reinstallere og kun flytte data du *ved*
ikke er kompromiterede over.

//Makholm

Follow ups

Re: pakke rod på ubuntu server [HACKET]
From: Atte André Jensen, 2009-02-26

References

pakke rod på ubuntu server
From: Atte André Jensen, 2009-02-25
Re: pakke rod på ubuntu server
From: Michael Rasmussen, 2009-02-25
Re: pakke rod på ubuntu server [HACKET]
From: Atte André Jensen, 2009-02-25