[ LUGOS ] who & last
Saso
Saso na vsecureit.net
Pet Jan 7 19:17:27 CET 2000
In message <00010622425200.00249 na thor>, Mitja writes:
>On Thu, 06 Jan 2000, you wrote:
>> On Thu, 6 Jan 2000, Mitja Zabukovec wrote:
>> > datoteka utmp obstaja in ima taka dovoljenja:
>> > -rw-rw-r-- 1 root tty 3920 Jan 6 15:08 utmp
>> >
>> > datoteka wtmp tudi:
>> > -rw-r--r-- 1 root root 16360 Jan 6 15:08 /var/log/wtmp
>> Poglej,kaksne so pravice nad /var/log direktoriju.Sicer pa,to je malo
>> verjetno.Malo vec podatkov bi moral navesti.Je to delalo,pa sedaj ne dela
>> vec,ali nikoli ni delalo?
>
>vcasih je delalo, potem je pa nehalo.
Takrat, ko je nehalo delati, je nekdo (amatersko) 'popravljal' wtmp in utmp.
Se spomnis, kdaj nazadnje je stvar se delala?
>> Ce je delalo,pa ne dela vec,je ta masina kaksen server na stalnem linku?
>
>ja, to je mail / web / dns server na stalnem linku
:) Na zalost si najverjetneje postal zrtev se enega 'script kiddija'.
>
>> Ce je,ti je najverjetneje kaksen nespreten heker vdrl v masino,in z
>> utmp/wtmp hackerji(editorji kao) malo ta dva fajla pofendlal,ali pa celo
>
>res se je nekdo poiskusal logirati kot nobody, ampak kolikor sem lahko razbral
>iz logov, mu ni ratalo. File utmp in wtmp sem ze zbrisal in na novo kreiral,
>pa ni nic pomagalo.
Ja, enkrat mu ni uspelo, pa mogoce drugic tudi ne, ampak definitivno se wtmp
in utmp datoteke ne pokvarijo same.
>kaksen nasvet, kako naj jih kreiram, da bo v redu ?
Raje en drug nasvet -- na novo istaliraj celotno masino, iz inetd.conf zbrisi
vse stvari, ki jih _nujno_ ne rabis, nalozi najnovejse verzije softvera, ne
poganjaj linuxconf in podobnih smeti, ne poganjaj RPC, zapri telnet, za FTP
dostop ne uporabljaj accountov z veljavnimi shelli, ....
>??? kako naj vem, ali je naredil to ali ne in potem zbrisem LRK ?
Ce se doslej nisi nikoli ukvarjal s 'computer forensics' potem je zdaj pravi
cas za to, seveda, ce je streznik pogresljiv. Kaj lahko se zgodi, da bo
"heker" odkril tvoje poizkuse, da ga najdes in v vsej svoji nerodnosti se bolj
unicil tvoj server.
Par iztocnic, ki so ti lahko v korist:
- preveri _vse_ loge
- preglej rootov crontab in vse programe, ki se iz njega zazenejo
- poberi ze prevedene staticno linkane verzije ps, who, find, ls
programov ... find je lahko izredno uporabno orodje, pod pogojem
da ves, kdaj priblizno je bil izvrsen vdor na tvoj streznik
Vseeno pa bi ti priporocal, da se tega ne lotis, ce nimas dovolj izkusenj s
tem. Lazje je narediti kopijo _podatkov_ na strezniku in na novo postaviti OS,
kot pa iskati _vse_ luknje v tvojem obstojecem sistemu.
LP,
Saso
Dodatne informacije o seznamu Starilist