URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 63556
[ Назад ]

Исходное сообщение
"Это взлом?"

Отправлено Serg77 , 22-Янв-06 15:15 
В логах (FreeBSD 6.0) появилось такое:
--- /var/log/setuid.today       Wed Jan 18 03:04:01 2006
+++ /tmp/security.QzxOX7hb      Sun Jan 22 03:04:28 2006
@@ -3,7 +3,7 @@
90 -r-sr-xr-x  1 root  wheel      21792 Nov  3 09:10:37 2005 /sbin/ping
91 -r-sr-xr-x  1 root  wheel      28660 Nov  3 09:10:37 2005 /sbin/ping6
103 -r-sr-x---  1 root  operator   10148 Nov  3 09:10:38 2005 /sbin/shutdown
-871573 -rws--x--x  1 root  wheel    1664887 Jan 13 19:38:19 2006 /usr/X11R6/bin/Xorg
+871573 -rws--x--x  1 root  wheel    1677193 Jan 22 01:49:18 2006 /usr/X11R6/bin/Xorg
873008 -rws--x--x  1 root  wheel     252996 Jan 14 00:24:25 2006 /usr/X11R6/bin/xterm
376941 -r-sr-xr-x  4 root  wheel      20948 Nov  3 09:11:16 2005 /usr/bin/at
376941 -r-sr-xr-x  4 root  wheel      20948 Nov  3 09:11:16 2005 /usr/bin/atq
@@ -33,7 +33,7 @@
376963 -r-sr-xr-x  6 root  wheel      17532 Nov  3 09:11:18 2005 /usr/bin/ypchpass
376963 -r-sr-xr-x  6 root  wheel      17532 Nov  3 09:11:18 2005 /usr/bin/ypchsh
377074 -r-sr-xr-x  2 root  wheel     5828 Nov  3 09:11:28 2005 /usr/bin/yppasswd
-925979 -rwsr-xr-x  1 root  wheel       5100 Nov  5 21:40:42 2003 /usr/compat/linux/usr/libexec/pt_chown
+925978 -rwsr-xr-x  1 root  wheel       5100 Nov  5 21:40:42 2003 /usr/compat/linux/usr/libexec/pt_chown
706577 -r-sr-xr-x  1 root  wheel     3400 Nov  3 09:10:04 2005 /usr/libexec/pt_chown
706620 -r-xr-sr-x  1 root  smmsp   579872 Nov  3 09:11:58 2005 /usr/libexec/sendmail/sendmail
784523 -r-sr-xr-x  1 root  wheel     4244 Jan 11 13:49:22 2006 /usr/local/bin/artswrapper

Больше всего волнуют строки
90 -r-sr-xr-x  1 root  wheel      21792 Nov  3 09:10:37 2005 /sbin/ping
91 -r-sr-xr-x  1 root  wheel      28660 Nov  3 09:10:37 2005 /sbin/ping6
103 -r-sr-x---  1 root  operator   10148 Nov  3 09:10:38 2005 /sbin/shutdown

Такое появилось после обновления X сервера и некоторых других пакетов.
Сама система не обновлялась.
О чем могут свидетельствовать такие логи?
Это взлом?


Содержание

Сообщения в этом обсуждении
"Это взлом?"
Отправлено AMDmi3 , 22-Янв-06 23:24 
>В логах (FreeBSD 6.0) появилось такое:
>--- /var/log/setuid.today       Wed Jan 18 03:04:01
>2006
>+++ /tmp/security.QzxOX7hb      Sun Jan 22 03:04:28 2006
>
>@@ -3,7 +3,7 @@
> 90 -r-sr-xr-x  1 root  wheel    
> 21792 Nov  3 09:10:37 2005 /sbin/ping
> 91 -r-sr-xr-x  1 root  wheel    
> 28660 Nov  3 09:10:37 2005 /sbin/ping6
> 103 -r-sr-x---  1 root  operator   10148 Nov
> 3 09:10:38 2005 /sbin/shutdown
>-871573 -rws--x--x  1 root  wheel    1664887 Jan
>13 19:38:19 2006 /usr/X11R6/bin/Xorg
>+871573 -rws--x--x  1 root  wheel    1677193 Jan
>22 01:49:18 2006 /usr/X11R6/bin/Xorg
> 873008 -rws--x--x  1 root  wheel    
>252996 Jan 14 00:24:25 2006 /usr/X11R6/bin/xterm
> 376941 -r-sr-xr-x  4 root  wheel    
> 20948 Nov  3 09:11:16 2005 /usr/bin/at
> 376941 -r-sr-xr-x  4 root  wheel    
> 20948 Nov  3 09:11:16 2005 /usr/bin/atq
>@@ -33,7 +33,7 @@
> 376963 -r-sr-xr-x  6 root  wheel    
> 17532 Nov  3 09:11:18 2005 /usr/bin/ypchpass
> 376963 -r-sr-xr-x  6 root  wheel    
> 17532 Nov  3 09:11:18 2005 /usr/bin/ypchsh
> 377074 -r-sr-xr-x  2 root  wheel    
>5828 Nov  3 09:11:28 2005 /usr/bin/yppasswd
>-925979 -rwsr-xr-x  1 root  wheel      
> 5100 Nov  5 21:40:42 2003 /usr/compat/linux/usr/libexec/pt_chown
>+925978 -rwsr-xr-x  1 root  wheel      
> 5100 Nov  5 21:40:42 2003 /usr/compat/linux/usr/libexec/pt_chown
> 706577 -r-sr-xr-x  1 root  wheel    
>3400 Nov  3 09:10:04 2005 /usr/libexec/pt_chown
> 706620 -r-xr-sr-x  1 root  smmsp   579872 Nov
> 3 09:11:58 2005 /usr/libexec/sendmail/sendmail
> 784523 -r-sr-xr-x  1 root  wheel    
>4244 Jan 11 13:49:22 2006 /usr/local/bin/artswrapper
>
>Больше всего волнуют строки
> 90 -r-sr-xr-x  1 root  wheel    
> 21792 Nov  3 09:10:37 2005 /sbin/ping
> 91 -r-sr-xr-x  1 root  wheel    
> 28660 Nov  3 09:10:37 2005 /sbin/ping6
> 103 -r-sr-x---  1 root  operator   10148 Nov
> 3 09:10:38 2005 /sbin/shutdown
>
>Такое появилось после обновления X сервера и некоторых других пакетов.
>Сама система не обновлялась.
>О чем могут свидетельствовать такие логи?
>Это взлом?

Это ничего, /sbin/ping и /sbin/ping6 не изменялись. Изменения в diff файле обоначаются в строчках, начинающихся с + или -, остальное - просто контекст для наглядности.


"Это взлом?"
Отправлено Serg77 , 23-Янв-06 00:15 
>Это ничего, /sbin/ping и /sbin/ping6 не изменялись. Изменения в diff файле обоначаются
>в строчках, начинающихся с + или -, остальное - просто контекст
>для наглядности.

Большое спасибо! А то я уже испугался.