From: Ib-Michael Martinsen <none@imm--nethotel.dk.lh.bsd-dk.dk> Date: Mon, 10 Sep 2001 20:04:27 +0200 To: bsd-dk@bsd-dk.dk Subject: Re: Hacked :-(
Alex Holst writes:
> Quoting Ib-Michael Martinsen (imm@nethotel.dk):
> > Så skete det desværre. I nat blev min NetBSD hack'et og en vis "gaby"
> > har installeret sig selv som bruger root sammen med
> > administrationsprogrammet webmin.
>
> Havde du telnetd koerende?
>
> ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2001-012.txt.asc
>
Ja, desværre. Og i min syslog findes symptomerne som beskrevet
i beskrivelsen ovenfor (citeret herunder :-):
> A strong indication of attempted exploitation of this bug may be found
> by examining log entries sent to the syslogd(8) system logger facility
> DAEMON (which is stored in /var/log/messages by default) of the form:
> telnetd \[[0-9]*\]: ttloop: peer died: No such file or directory
Det finder sted næsten samtidigt som den sidste connection til min
maskine fra adressen 200.66.118.78. Så er spørgmålet om dette er
fra indbryderen eller om det er fra en anden hack'et maskine.
Anyway, tak for hjælpen. Jeg har fjernet telnetd nu!
mvh
Ib-Michael
-- email at home: imm@nethotel.dk email at work: imm@dmdata.dk Running NetBSD/i386 v1.5 because my RiscPC has broken down :-(
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:15 CET