[ LUGOS ] who & last

Saso Saso na vsecureit.net
Pet Jan 7 19:17:27 CET 2000


In message <00010622425200.00249 na thor>, Mitja writes:
>On Thu, 06 Jan 2000, you wrote:
>> On Thu, 6 Jan 2000, Mitja Zabukovec wrote:
>> > datoteka utmp obstaja in ima taka dovoljenja:
>> > -rw-rw-r--   1 root     tty          3920 Jan  6 15:08 utmp
>> > 
>> > datoteka wtmp tudi:
>> > -rw-r--r--   1 root     root        16360 Jan  6 15:08 /var/log/wtmp
>> Poglej,kaksne so pravice nad /var/log direktoriju.Sicer pa,to je malo
>> verjetno.Malo vec podatkov bi moral navesti.Je to delalo,pa sedaj ne dela
>> vec,ali nikoli ni delalo?
>
>vcasih je delalo, potem je pa nehalo.

Takrat, ko je nehalo delati, je nekdo (amatersko) 'popravljal' wtmp in utmp. 
Se spomnis, kdaj nazadnje je stvar se delala?

>> Ce je delalo,pa ne dela vec,je ta masina kaksen server na stalnem linku? 
>
>ja, to je mail / web / dns server na stalnem linku

:) Na zalost si najverjetneje postal zrtev se enega 'script kiddija'.

>
>> Ce je,ti je najverjetneje kaksen nespreten heker vdrl v masino,in z
>> utmp/wtmp hackerji(editorji kao) malo ta dva fajla pofendlal,ali pa celo
>
>res se je nekdo poiskusal logirati kot nobody, ampak kolikor sem lahko razbral
>iz logov, mu ni ratalo. File utmp in wtmp sem ze zbrisal in na novo kreiral,
>pa ni nic pomagalo.

Ja, enkrat mu ni uspelo, pa mogoce drugic tudi ne, ampak definitivno se wtmp 
in utmp datoteke ne pokvarijo same.

>kaksen nasvet, kako naj jih kreiram, da bo v redu ?

Raje en drug nasvet -- na novo istaliraj celotno masino, iz inetd.conf zbrisi 
vse stvari, ki jih _nujno_ ne rabis, nalozi najnovejse verzije softvera, ne 
poganjaj linuxconf in podobnih smeti, ne poganjaj RPC, zapri telnet, za FTP 
dostop ne uporabljaj accountov z veljavnimi shelli, ....

>??? kako naj vem, ali je naredil to ali ne in potem zbrisem LRK ?

Ce se doslej nisi nikoli ukvarjal s 'computer forensics' potem je zdaj pravi 
cas za to, seveda, ce je streznik pogresljiv. Kaj lahko se zgodi, da bo 
"heker" odkril tvoje poizkuse, da ga najdes in v vsej svoji nerodnosti se bolj 
unicil tvoj server.

Par iztocnic, ki so ti lahko v korist:

	- preveri _vse_ loge
	- preglej rootov crontab in vse programe, ki se iz njega zazenejo
	- poberi ze prevedene staticno linkane verzije ps, who, find, ls 
		programov ... find je lahko izredno uporabno orodje, pod pogojem
		da ves, kdaj priblizno je bil izvrsen vdor na tvoj streznik

Vseeno pa bi ti priporocal, da se tega ne lotis, ce nimas dovolj izkusenj s 
tem. Lazje je narediti kopijo _podatkov_ na strezniku in na novo postaviti OS, 
kot pa iskati _vse_ luknje v tvojem obstojecem sistemu.

LP,

Saso




Dodatne informacije o seznamu Starilist