URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 30870
[ Назад ]

Исходное сообщение
"кажется ломанули...что за зверь tiz?"
Отправлено LiquID , 11-Июн-03 00:59

никогда раньше не сталкивался со взломами и не знаю что делать :)
обнаружил обратный интернет-канал полностью положенным отправкой пакетов на некий хост. айпишник назначения по разгильдяйству утерян :(
в списке процессов висит некая прога tiz.
также обнаружил некий каталог созданный рутом (но я его точно не создавал) датированный 9м числом и названный zshzlee :). в нем этот tiz и лежал.
как ломанули - теряюсь в догадках.
начинаю думать на eggdrop который торчал постоянно наружу.
подскажите как интрудера споймать и определить через что ломанули :)

Содержание

кажется ломанули...что за зверь tiz?,Michael, 08:52 , 11-Июн-03
кажется ломанули...что за зверь tiz?,iiws, 09:15 , 11-Июн-03
кажется ломанули...что за зверь tiz?,Bart_Simpson, 09:19 , 11-Июн-03
- кажется ломанули...что за зверь tiz?,ддд, 10:56 , 11-Июн-03
- кажется ломанули...что за зверь tiz?,LiquID, 13:20 , 11-Июн-03
- кажется ломанули...что за зверь tiz?,LiquID, 13:37 , 11-Июн-03
  - кажется ломанули...что за зверь tiz?,lavr, 14:07 , 11-Июн-03
  - кажется ломанули...что за зверь tiz?,URL, 14:09 , 11-Июн-03

Сообщения в этом обсуждении

"кажется ломанули...что за зверь tiz?"
Отправлено Michael , 11-Июн-03 08:52

>подскажите как интрудера споймать и определить через что ломанули :)
имхо, лучше не ловить, а востанавливать систему...
и желательно - с нуля и с более жесткими настройками...

"кажется ломанули...что за зверь tiz?"
Отправлено iiws , 11-Июн-03 09:15

>никогда раньше не сталкивался со взломами и не знаю что делать :)
>
>обнаружил обратный интернет-канал полностью положенным отправкой пакетов на некий хост. айпишник назначения
>по разгильдяйству утерян :(
>в списке процессов висит некая прога tiz.
>также обнаружил некий каталог созданный рутом (но я его точно не создавал)
>датированный 9м числом и названный zshzlee :). в нем этот
>tiz и лежал.
>как ломанули - теряюсь в догадках.
>начинаю думать на eggdrop который торчал постоянно наружу.
>
>подскажите как интрудера споймать и определить через что ломанули :)
если основные порты снаружи закрыты в том числе telnet , ssh, то скорее всего через sendmail или апач если они старых версий

"кажется ломанули...что за зверь tiz?"
Отправлено Bart_Simpson , 11-Июн-03 09:19

А какие службы висели на сервере?

"кажется ломанули...что за зверь tiz?"
Отправлено ддд , 11-Июн-03 10:56

если активность нездаровая все еще наблюдается, то для дальнейших разборов полетов можно поснифить сеть, записать все что по ней ходит в файло на соседней машане. так кажись в свое время Митника повязали....
http://www.chkrootkit.org/
проверяет на наличие известных руткитов.
а лучше всего бысто - быстро переставить все на какойнить свежачек типа слаки 9-й.

"кажется ломанули...что за зверь tiz?"
Отправлено LiquID , 11-Июн-03 13:20

>А какие службы висели на сервере?
стоит апач для внутренней сети, ирц сервер для внутренней сети.. эггдроп торчал наружу.. самба там еще..
машинка является роутером.

"кажется ломанули...что за зверь tiz?"
Отправлено LiquID , 11-Июн-03 13:37

короче по вашим советам понял, что лучше все заново на серваке переставить :)
.. хотя интереснее было бы выяснить как именно поломали машинку..

"кажется ломанули...что за зверь tiz?"
Отправлено lavr , 11-Июн-03 14:07

>короче по вашим советам понял, что лучше все заново на серваке переставить
>:)
>.. хотя интереснее было бы выяснить как именно поломали машинку..
во время нужно выяснять, если с головой хачили, логи уж давно почистили
лучше быстрее переставить с учетом всех updates/bugfix и известных
хаков тех или иных сервисов

"кажется ломанули...что за зверь tiz?"
Отправлено URL , 11-Июн-03 14:09

Заходи почаще на security.nnov.ru и security.opennet.ru -
у нас народ редко что-то своё пишет, в основном чужими эксплойтами.
Сам неприятно удивился, обнаружив на nnov эксплойт для samba на freebsd/openbsd,
samba-2.2.2-2.2.8a. Работает, между прочим.