From: Jesper Nøhr <none@jesper--noehr.org.lh.bsd-dk.dk> To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk> Subject: SV: Underlig process nedlægger internettet Date: Sat, 14 Jun 2003 11:57:28 +0200
Det ser altså utroligt underligt ud.
Jeg tvivler på at jeg er blevet hacket.. Jeg kører en snort, og har lige
kigget den ugentlige log igennem.
Jeg ser intet usædvanligt i min log (de kan være cleaned selvfølgeligt),
der er ingen andre brugere med uid 0, jeg kører ingen samba, jeg har
søgt hele min disk igennem for ``slice'', den finder absolut intet af
relevans.
Jeg forstår det simpelthen ikke.. Hvad siger I; Skal jeg virkelig
reinstalle til en 5.1'er?
- Jesper
-----Oprindelig meddelelse-----
Fra: owner-bsd-dk@BSD-DK.dk [mailto:owner-bsd-dk@BSD-DK.dk] På vegne af
per engelbrecht
Sendt: 14. juni 2003 10:38
Til: bsd-dk@bsd-dk.dk
Emne: Re: Underlig process nedlægger internettet
On Saturday 14 June 2003 09:17, Jesper Nøhr wrote:
Jeg vil mene at din box (eller din router) er hacked, i et eller andet
omfang. Siger du "slice" og xBSD, taenker jeg umiddelbart fdisk og
disklayout, men det passer langt fra med din beskrivelse.
Jeg er meget begejstret for isaer FreeBSD og vil til hver en tid
plaedere for at BSD generelt er verdens bedste OS - men de kan altsaa
hackes !
Hvad siger `netstat` om aabne forbindelser ?
Hvad koerer root i forhold til "standard" ? (ps auxw | grep root) Hvad
siger authlog ? (er der evt "huller" i nogle af dine logfiler) Siger
messages evt noget om aendrede MAC adresser paa fxp[0-9] ? Er der
(kommet) flere uid 0 / gid 0 end root ? Er der mountet noget (evt i mfs)
som du ikke kender til ? Koerer du tripwire, ipfw ? (og koerer de endnu)
Koerer du med chroot / jails ? (er der kommet flere)
Der er kun een vej og det er op ad bakke. Se lyst paa det, du har hele
weekenden til at reetablere din box :)
Forsoeg aldrig at lappe en hacked box, lad den doe og genopstaa som en
ny og bedre (patched) box. God arbejdslyst !
mvh
/per
per@xterm.dk
> Hej liste,
>
> Jeg vågner her til morgen for at finde ud af at mit internet er nede.
> Det er routed gennem en FreeBSD 4.7'er RELEASE-box, og har hidtil kørt
> fejlfrit. Jeg roder lidt rundt på boxen, som spammer en masse til tty1
> om at arpresolve ikke
> kan resolve min routers IP, eller noget lign.
> Jeg kan også se at LED'sne på min router blinker helt hysterisk under
> LAN og activity.
> Jeg kan ikke se andre løsninger end en reboot, så jeg vil lige se
> uptime.
> Der bemærker jeg så det underlige at load-avg er på over 8?!
> Jeg checker i en top hvad der kører, og der kører en HEL masse
> processor, under navnet 'slice'.
> Jeg kører en ``man slice'', giver intet, bare 'slice', heller
> ingenting. Hm. Jeg ``killall slice'', og med det samme, holder
> blinkene op og alt virker perfekt.
> Hvad er der lige sket her?
> På forhånd tak.
>
> Mvh. / Best Regards,
> Jesper Noehr -- <none@jesper--noehr.org.lh.bsd-dk.dk>
> Holstebro, Denmark; http://printf.dk
> Systems administrator, Coder, Geek.
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:29 CET