[LUGOS] exploit
Andraz Tori
Andraz.tori1 at guest.arnes.si
Sun Jul 13 22:13:14 CEST 2003
Na 1058125726, 2003-07-13 ob 21:48, je Klemen Humerca napisal(a):
> Na eni masini (Slackware 9) sem odkrit tale backdoor:
> http://beatbox.suidzer0.org/files/shv4.tar.gz
>
> Mi lahko kdo pove kaj naj storim? Kako je skripta sploh prišla na
> streznik?
najprej odklopi mašino z neta, razen če misliš da se bo storilec vračal
in ga želiš ulovit (če imaš preveč časa).
zarhiviri cel disk nekam (za kasnejšo analizo če boš hotel) in
reinstall.
Poglej loge, poskušaj ugotovit kaj se je zgodilo. primerjaj datume
fajlov z dogodki v logih. a vedi da nobena informacija ni več
zanesljiva. Ce imas pred sabo kak fw poskusaj pogledat ce so se kaksne
sumljive konekcije hotele vzpostavljat.
preprosto nisi več gospodar računalnika in ne moreš vedeti kaj vse se je
spremenilo, razen če nisi uporabljal tripwire ali če imaš kak nedavni
backup ali kaj podobnega.
bottom line: reinstall ti ne uide
v primeru da boš restoral z backupa potem se moraš prej res potrudit
ugotovit kje imaš luknjo, da se vdor ne ponovi... v primeru da
reinstaliraš najdi vse najbolj posodobljene različice programja (ne
nujno najnovejše, samo najbolj zanesljive)
aja, nedavno sem bil priča nečem podobnem, pa se je iskanje krivca
izkazalo za dokaj brezplodno početje. bolj važno je ugotovit kaj je
omogočilo vdor (enkrat je bil kriv slabo nameščen phpbb, drugič to da so
adminu vdrli v njegov lastni workstation in iz njega (in z njegovimi
gesli) naprej v sistem, ki ga je administriral)
lep pozdrav
andraz tori
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: To je digitalno podpisan del =?iso-8859-2?Q?sporo=E8ila?=
Url : http://liste2.lugos.si/pipermail/lugos-list/attachments/20030713/e1265f5b/attachment-0001.pgp
More information about the lugos-list
mailing list