/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Er blevet hacked, hvor skal jeg kigge?
Fra : Morten


Dato : 10-01-02 13:48


Hej. Har haft en RH5.2 maskine til at stå uden firewall siden
1999. Den har haft imponerende oppetider og har generelt kørt
smertefrit, hvorfor jeg aldrig har opdateret den. Men så en
dag havde ls, ps og netstat skiftet ejer og gruppe. Så jeg går
stærkt ud fra at maskinen er blevet kompromiteret.

Det er også helt fint, har sat en nu og sikker server op nu. Men
jeg vil gerne studere den gamle lidt nøjere, for at se hvad den
er blevet brugt til. Nogen forslag? Noget /proc eller /var/log?
Jeg er ret overbevist om at der er tale om et *tadaa.wav* buffer
overflow exploit mod wu-ftpd - den kørte en tudsegammel beta version.

Morten


 
 
Alex Holst (10-01-2002)
Kommentar
Fra : Alex Holst


Dato : 10-01-02 14:50

Morten <morten@kikobu.com> wrote:
> Det er også helt fint, har sat en nu og sikker server op nu. Men
> jeg vil gerne studere den gamle lidt nøjere, for at se hvad den
> er blevet brugt til. Nogen forslag? Noget /proc eller /var/log?

Hvis systemet ikke sendte logfiler til en sikker loghost kan du ikke stole
paa hvad du finder i /var/log. Hvis du ikke har checksums af alle dine
binaries og kernen kan du ikke stole paa noget som helst.

Mange dumme angribere gemmer deres vaerktoejer i /dev fordi "der er saa
mange filer." -- hvis din find kommando virker kan du let finde skumle ting
i /dev:

find /dev -type f

(eller maaske -type file)

Se ogsaa forensics afsnittet i Videre laesning om sikkerhed i OSS'en fra
dk.edb.sikkerhed:

http://a.area51.dk/sikkerhed/videre

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Christian E. Lysel (10-01-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 10-01-02 15:22

Alex Holst wrote:

> paa hvad du finder i /var/log. Hvis du ikke har checksums af alle dine
> binaries og kernen kan du ikke stole paa noget som helst.


En "rpm -Va" bør hjælpe på ovenstående, men kun hvis du kan stole på
rpm's database. Har du evt. en backup af denne?

Endvidere bør alt tilgangen til maskinen ske fra en anden kernel, fx
http://trinux.sourceforge.net/


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408903
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste