[ LUGOS ] Potencialen vdor?

Pet Avg 13 13:15:57 CEST 1999

Boštjan Muller [NEONATUS] wrote:
> 
> Pozdrav!
> 
> Vceraj sem checkiral loge in sem zasledil v njih tudi tole:
> Aug 12 18:25:03 MAJA ffingerd[666]: connect from ts03-1.trace.net.tw
> Aug 12 18:25:05 MAJA in.telnetd[667]: connect from ts03-1.trace.net.tw
> Aug 12 18:25:09 MAJA imapd[669]: command stream end of file, while reading line
> +user=??? host=ts03-1.trace.net.tw [202.80.133.1]
> Aug 12 18:25:15 MAJA sendmail[665]: NOQUEUE: Null connection from
> +root na ts03-1.trace.net.tw [202.80.133.1]
> Aug 12 18:25:15 MAJA in.telnetd[670]: connect from ts03-1.trace.net.tw
> 
> Potencialni vdor ali sem le paranoičen?
> V večini hack & crack navodil bi bili tole osnovni postopki za preverjanje
> lukenj v sistemu če se ne motim, tale osebek ni imel kaj iskat na moji mašini,
> pa še dinamičen ip imam - ppp link tako da ne vem kje me je našel?
> 
> BTW: kako naj izvem ali je prišel notri? Nikjer  v logih ni pisalo da bi kaj
> bilo authenticated se pravi nikjer ne piše da bi bila kaka povezava odobrena...
> 
> Mi lahko kdo svetuje kaj naj storim (ce sploh kaj moram storiti).


, poslji sistemcem tvoje loge, tako da bodo lahko urgirali
(hostmaster na kjerkoli.ze.si)

Ce je prisel notri:
	poglej last, in ce se je kaksen logiral preko telneta,
	mora notri pisati.
	poglej history file, za kaksnimi cutnimi entriji,

	poglej sticki bit na filih ( razne distribucije to
	avtomatsko vodijo) - diff.


	poglej procese, kaksne cudne datoteke.

Jasno je ponavadi najboljsa varianta reinstalacija


Gregor 

-- 
"All the people are so happy now, their heads are caving in.  I'm glad
they
are a snowman with protective rubber skin" 
-- They Might Be Giants