Re: Underlig process nedlægger internettet

From: per engelbrecht (none@per--xterm.dk.lh.bsd-dk.dk)
Date: Sat 14 Jun 2003 - 10:38:04 CEST

Next message: Jesper Nøhr: "SV: Underlig process nedlægger internettet"
Previous message: Flemming Jacobsen: "Re: Underlig process nedlægger internettet"
In reply to: Jesper Nøhr: "Underlig process nedlægger internettet"
Next in thread: Jesper Nøhr: "SV: Underlig process nedlægger internettet"
Reply: Jesper Nøhr: "SV: Underlig process nedlægger internettet"
Reply: Jesper Nøhr: "SV: Underlig process nedlægger internettet"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

From: per engelbrecht <none@per--xterm.dk.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: Underlig process nedlægger internettet
Date: Sat, 14 Jun 2003 10:38:04 +0200

On Saturday 14 June 2003 09:17, Jesper Nøhr wrote:
Jeg vil mene at din box (eller din router) er hacked, i et eller andet
omfang. Siger du "slice" og xBSD, taenker jeg umiddelbart fdisk og
disklayout, men det passer langt fra med din beskrivelse.
Jeg er meget begejstret for isaer FreeBSD og vil til hver en tid
plaedere for at BSD generelt er verdens bedste OS - men de kan altsaa
hackes !
Hvad siger `netstat` om aabne forbindelser ?
Hvad koerer root i forhold til "standard" ? (ps auxw | grep root)
Hvad siger authlog ? (er der evt "huller" i nogle af dine logfiler)
Siger messages evt noget om aendrede MAC adresser paa fxp[0-9] ?
Er der (kommet) flere uid 0 / gid 0 end root ?
Er der mountet noget (evt i mfs) som du ikke kender til ?
Koerer du tripwire, ipfw ? (og koerer de endnu)
Koerer du med chroot / jails ? (er der kommet flere)

Der er kun een vej og det er op ad bakke. Se lyst paa det, du har hele
weekenden til at reetablere din box :)
Forsoeg aldrig at lappe en hacked box, lad den doe og genopstaa som en
ny og bedre (patched) box. God arbejdslyst !

mvh

/per
per@xterm.dk

> Hej liste,
>
> Jeg vågner her til morgen for at finde ud af at mit internet er nede.
> Det er routed gennem en FreeBSD 4.7'er RELEASE-box, og har hidtil
> kørt fejlfrit.
> Jeg roder lidt rundt på boxen, som spammer en masse til tty1 om at
> arpresolve ikke
> kan resolve min routers IP, eller noget lign.
> Jeg kan også se at LED'sne på min router blinker helt hysterisk under
> LAN og activity.
> Jeg kan ikke se andre løsninger end en reboot, så jeg vil lige se
> uptime.
> Der bemærker jeg så det underlige at load-avg er på over 8?!
> Jeg checker i en top hvad der kører, og der kører en HEL masse
> processor, under navnet 'slice'.
> Jeg kører en ``man slice'', giver intet, bare 'slice', heller
> ingenting. Hm. Jeg ``killall slice'', og med det samme, holder
> blinkene op og alt virker perfekt.
> Hvad er der lige sket her?
> På forhånd tak.
>
> Mvh. / Best Regards,
> Jesper Noehr -- <none@jesper--noehr.org.lh.bsd-dk.dk>
> Holstebro, Denmark; http://printf.dk
> Systems administrator, Coder, Geek.

Next message: Jesper Nøhr: "SV: Underlig process nedlægger internettet"
Previous message: Flemming Jacobsen: "Re: Underlig process nedlægger internettet"
In reply to: Jesper Nøhr: "Underlig process nedlægger internettet"
Next in thread: Jesper Nøhr: "SV: Underlig process nedlægger internettet"
Reply: Jesper Nøhr: "SV: Underlig process nedlægger internettet"
Reply: Jesper Nøhr: "SV: Underlig process nedlægger internettet"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:29 CET