Date: Sat, 14 Jun 2003 12:19:56 +0200 From: Morten Liebach <none@m--mongers.org.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: SV: Underlig process nedlægger internettet
On 2003-06-14 11:57:28 +0200, Jesper Nøhr wrote:
> Det ser altså utroligt underligt ud.
> Jeg tvivler på at jeg er blevet hacket.. Jeg kører en snort, og har lige
> kigget den ugentlige log igennem.
> Jeg ser intet usædvanligt i min log (de kan være cleaned selvfølgeligt),
> der er ingen andre brugere med uid 0, jeg kører ingen samba, jeg har
> søgt hele min disk igennem for ``slice'', den finder absolut intet af
> relevans.
> Jeg forstår det simpelthen ikke.. Hvad siger I; Skal jeg virkelig
> reinstalle til en 5.1'er?
Ja, et rootkit kan godt patche find(1), ls(1) og andre så du simpelthen
ikke kan se at der ligger et /haxored dir på maskinen. Du har ikke en
chance, andet end at mounte disken, eller helst et image af den,
read-only i en anden maskine og kigge efter. Men så er vi helt ovre i
forensics.
Så ja, geninstaller. Tag backup af configfiler og data, og check at du
ikke ved at restaurere dem geninstallerer en bagdør. Vær omhyggelig og
opmærksom.
Med venlig hilsen
Morten
--
OpenPGP: 0xF1360CA9 - 8CF5 32EE A5EC 36B2 4E3F ACDF 6D86 BEB3 F136 0CA9
Morten Liebach <none@m--mongers.org.lh.bsd-dk.dk> - http://m.mongers.org/
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:29 CET