Date: Wed, 30 May 2001 13:24:03 +0200 From: Mads <none@mads--kanon.net.lh.bsd-dk.dk> To: Henrik Kramshø <none@henrik.kramshoj--vigilante.com.lh.bsd-dk.dk> Subject: Re[4]: Exited on signal 11 ??
Hej Henrik..
Tusind tak for din uddybende forklaring.. Den beroerte server er ikke
en high-profile-site-something ("Heldigvis"). Den er mail og resource
sever for en raekke usere som jeg kender allesammen, saa
selvfoelgelig er den vigtig. (Hvad er mere vigtigt end privat mail. ;)
Det er en FreeBSD 4.3-RELEASE. Jeg har laest de security advice om
"globbing vulnerability in ftpd", og der er det naevnt at den version
(4.3-RELEASE) ikke skulle vaere i farezonen.
Anyway.. Jeg ved hvad jeg har at goere.. Igen tak for dine gode raad..
Mads
Wednesday, May 30, 2001, 9:02:38 AM, you wrote:
HK> Hej Mads
HK> Surt show, håber du har en relativt ny backup
HK> Hvis du kan finde ud af hvornår det skete kan du gå
HK> tilbage til den backup og patche dit system
HK> - ellers vil jeg personligt anbefale install from scratch
HK> Der er mange eksempler på at folk blot installerer patch for det problem
HK> der i første omgang tillod adgang, men "overser" andre adgangsveje.
HK> Den seneste sadmin/unicode worm, der spreder sig via Solaris sadmind
HK> vulnerability og defacer Microsoft IIS servere med Unicode efterlader
HK> en kopi ad cmd.exe i /scripts kataloget
HK> De travle administratorer installerer seneste 10 patches fra MS
HK> (som de burde have gjort meget tidligere) hvorefter alle og en enhver
HK> stadig kan bruge cmd.exe kopien ...
HK> Det bedste råd der findes er - DONT PANIC !
HK> Selvom I sidder med ansvaret for www.high-profile-site-something.dk/com
HK> og alle står på nakken af jer for at få skidtet i luften så prøv at tage det
HK> roligt
HK> Min personlige plan ville være noget i stil med
HK> - blot et uddrag af hvad man kunne gøre, MIN personlige mening
HK> 1) Simuler et strømudfald - hiv ethernet stikket ud, vent 5 min
HK> så der ikke er så meget traffik på maskinen og tag strømmen !
HK> - Hvordan man "lukker" en kompromitteret maskine er et stort diskussions
HK> emne,
HK> der kan være indbygget oprydning i shutdown scripts, og man kan ved
HK> ovenstående miste
HK> muligheden for at dumpe kørende programmer fra memory
HK> De fleste bliver ramt af kendte exploits, og hvis man ikke har tid til at
HK> patche
HK> sine systemer har man sikkert aligevel ikke tid til at dekode memory dumps
HK> etc.
HK> 2) Diskuter hvorledes sagen skal håndteres
HK> Tag diskussion med nærmeste chef, inddrag alt efter omfang ledelse/højere
HK> niveauer
HK> Beslut hvem der er ansvarlig for dele af opgaven, skal Politiet indrages
HK> hvem taler
HK> med Politiet, hvem taler med Internet udbyderen
HK> 3) Alt efter hvad der aftales så tag backup af det ødelagte system,
HK> ghost, dd whatever
HK> 4) Installer backup eller base OS på samme hardware eller en anden server
HK> ...
HK> Mads: Hvis du mangler mere info kan jeg sikkert finde nogle links
HK> Henrik Lund Kramshøj
HK> henrik.kramshoj@vigilante.com
HK> Security Engineer
HK> ___________________
HK> VIGILANTe - Assuring Internet Security
HK> www.vigilante.com
HK> Company Phone +45 7020 6565
HK> Direct Phone +45 7731 6584
HK> Mobile Phone +45 2026 6000
HK> -----Original Message-----
HK> From: mads [mailto:mads@petersen.eu.com]
HK> Sent: 30. maj 2001 08:23
HK> To: Anton Berezin
HK> Cc: bsd-dk@bsd-dk.dk
HK> Subject: Re[2]: Exited on signal 11 ??
HK> DAMN!!
HK> Thanks Anton.. That was what I feared.. Hmm.. Any small pointers to
HK> how I proceed from here?
HK> Mads
HK> Wednesday, May 30, 2001, 2:33:21 AM, you wrote:
AB>> On Wed, May 30, 2001 at 12:15:59AM +0200, mads@kanon.net wrote:
>>> Hej liste..
>>>
>>> Hvad betyder disse kernel log messages:
>>> > pid 5573 (ftpd), uid 14: exited on signal 11
>>> > pid 5581 (ftpd), uid 14: exited on signal 11
>>>
>>> Jeg kan godt se at det betyder at to ftpd processer er blevet afbrudt,
>>> men er der nogen som ved hvad signal 11 betyder??
AB>> Signal 11 is SIGSEGV - segment violation. It is typically caused by
AB>> programs trying to write to memory regions that the program has no
AB>> permission to write to.
AB>> In this particular case, however, what you see is the strong indication
AB>> that someone was trying to hack into your system. There were couple of
AB>> security vulnerabilities in FreeBSD's (sorry for the assumption here)
AB>> ftpd. Please see the list of FreeBSD security advisories on
AB>> www.freebsd.org.
AB>> Oh, and by the way, it is possible that whoever has done that has
AB>> succeeded, so you'd better investigate.
AB>> Cheers,
AB>> =Anton.
>>>>> VIGILANTe.com NOTICE - AUTOMATICALLY INSERTED <<<<
HK> The information transmitted is intended only for the person or entity to
HK> which it is addressed and may contain confidential and/or privileged
HK> material. Any review, retransmission, dissemination or other use of, or
HK> taking of any action in reliance upon, this information by persons or
HK> entities other than the intended recipient is prohibited.
HK> Any opinions expressed in this email are those of the individual and not
HK> necessarily the Company.
HK> If you receive this transmission in error, please email to
HK> postmaster@vigilante.com, including a copy of this message. Please then
HK> delete this email and destroy any copies of it.
>>>>>>>>>>>>>>>>>>>>>>>>>>> DISCLAIMER END <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
"-= Member of *BSD/Dk USER GROUP | http://hotel.prosa.dk/bsd-dk =- "
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:08 CET