[LUGOS-SEC] Hacked?
Nejc Skoberne
nejc.skoberne at guest.arnes.si
Mon Jul 7 13:50:16 CEST 2003
Zdravo.
> To vprasanje je popolnoma neumestno. Seveda moras naredit reinstall,
> saj ne mores zaupat masini, ki ima /sbin/init povozen z nekim exploitom.
OK.
-rwxr-xr-x 1 root root 28856 Jul 6 09:56 /sbin/init*
13:44:37 up 3 days, 3:22, 3 users, load average: 0.44, 0.75, 0.82
To verjetno pomeni, da tisti init, ki laufa pod PID 1 ni se okuzen,
ne? A se da to kako preverit? Tudi "nmap -p 1-65535 moj_zunanji_ip" ni
pokazal nobenega unusual porta. Hecno je, da sem na eni drugi masini
(ki je sicer VPNjana s to masino) tudi dobil tale rootkit in sicer cez
6 minut.
Hecno je tudi to, da so "okuzene" le masine, ki laufajo Slackware 9.0
z vsemi moznimi najnovejsimi patchi in jedrom 2.4.21. Namrec obe izmed
okuzenih masin sta povezana (VPNjana) se z nekaj drugimi in nobena od
teh ni compromised.
Pa se to - ostale datoteke (ps, netstat, ls) izgledajo cisto kul
(md5sum s 100% cistimi variantami).
Pa kaj to pise folk ej... :-)
--
Nejc Skoberne
Grajska 5
SI-5220 Tolmin
E-mail: nejc.skoberne at guest.arnes.si
More information about the lugos-sec
mailing list