[ LUGOS ] Dolzine fajlov...
Andrej Presern
andrejp na luz.fe.uni-lj.si
Sre Jan 14 01:22:10 CET 1998
David Klasinc wrote:
>
> On Mon, 12 Jan 1998, Metod Kozelj wrote:
>
> > -rwxr-xr-x 1 root bin 25640 Jan 28 1997 ps*
> > -rwxr-xr-x 1 root bin 40016 Jan 28 1997 top*
> >
> > Kot vidis, so datumi isti, ampak dolzine, bogami, ti pa res nekako ne
> > stimajo.
>
> Ja... ugotovitev je tudi da so bili vsi programsi staticno linkani....
>
> BTW, a je kje kak disassembler? Mene zanima kaj so ti programi delali...
> Heh passwd je bil tako zamenjan, da ni vec podpiral shadow passwordov..
> Mislim noro.. :))
Ti programi so bili del t.i. rootkita, to je paketa pohekanih
utilitijev, ki skrijejo dolocene fajle, direktorije in procese
pred ocmi radovednih uporabnikov. Zelo verjetno imas na sistemu
tudi kak suid root program z nedolznim imenom, preko katerega
so si vsiljivci olajsali ponovne vstope v sistem. Ce so bili
vsiljivci bolj sepavi, imas verjetno v /etc/passwd tudi novega
uporabnika 'toor' z uid 0. :)
Ce potrebujes pomoc pri deratizaciji sistema in identifikaciji
vsiljivcev, povej:)
Andrej
Dodatne informacije o seznamu Starilist