[ LUGOS ] who & last

tJaZy rachek na kibla.org
Pet Jan 7 11:56:24 CET 2000


On Thu, 6 Jan 2000, Mitja wrote:
> vcasih je delalo, potem je pa nehalo.
> > Ce je delalo,pa ne dela vec,je ta masina kaksen server na stalnem linku?  
> ja, to je mail / web / dns server na stalnem linku
Heh,take masine imajo radi,sploh ker so opazne ... za eggdrope laufat(po
mojih izkusnjah,koliko poznam nekaj takih ljudi)

> res se je nekdo poiskusal logirati kot nobody, ampak kolikor sem lahko razbral
> iz logov, mu ni ratalo. File utmp in wtmp sem ze zbrisal in na novo kreiral,
> pa ni nic pomagalo.
> kaksen nasvet, kako naj jih kreiram, da bo v redu ?
Z tem nimam izkusenj.

> ??? kako naj vem, ali je naredil to ali ne in potem zbrisem LRK ?
To je izjemno tezko ugotovit ... Like,ko LRK(jaz imam izkusnje z verzijo
4) zinstaliras,ga to tako,da neke binary-e sicer skompajlas,ampak jih ne
replace-as z starimi,temvec imas tam eden binary,ki se imenuje fix, in
potem z tem programom,ki je poleg LRK,potem ze obstojece binary-e
fixas, vkljucno z datumi in casi in pravicami, tako da vsega skupaj ne
mores kar tako opazit ... da se,recimo,v /etc/securetty vpisat terminale,z
katerih se root lahko logira(npr.samo z konzole),potem pa z ene druge unix
masine ethernet sniffer nastavis,pa vidis ce se je kdo telnetal na tisto
masino,in se prijavil kot user rewt in nekim passwordom.Jaz osebno imam te
izkusnje:Slack 4,LRK4,2 simptoma:potem,ko sem /bin/login "fixal", in sem
ze z tty3 skusal prijaviti kot root,mi je login skoz tezil,da root login z
tega terminala ni dovoljen(se predno sem password lahko vpisal),pred tem
je,ko sem za username vpisal root,mirno zahteval se password,in cez par
sekund izjavil login incorrect.Drugi simptom je bil("fixal" sem namrec
tudi /bin/ps in se nekaj drugih binary-ev,ki pomagajo zakriti
neavtorizirane logine na masini),da ko sem pred nekaj casa rekompajliral
kernel,sem pozabil tudi System.map v /boot skopirat, in ce sem izvedel
kaksen ps aux, mi je ps procese sicer izpisal(razen skritih),vendar mi je
skozi dopovedoval,da /boot/System.map ni za to verzijo kernela in da naj
to popravim.Prej tega ni pocel.

Nebi te rad naredil paranoicnega,ampak ti svetujem previdnost.
Sicer pa,ce imas vzdrzevano masino,redno instaliras popravke za servise,ki
jih laufas,tistih servisov(oz daemonov zanje),ki jih ne vzdrzujes,ne
laufas,pol se skoraj ni za bati.Po mojih izkusnjah,je najvec hekjenih unix
masin takih,kjer glupi administrator masine ze po 2 leti ni nobenih
popravkov zinstaliral.

-------------------------
LeP PoZdRaV,
GrdiRaceK
-------------------------




Dodatne informacije o seznamu Starilist