From: "Jesper Louis Andersen" <none@jlouis--mongers.org.lh.bsd-dk.dk> Date: Sat, 14 Jun 2003 12:54:06 +0100 To: bsd-dk@bsd-dk.dk Subject: Re: SV: Underlig process nedlægger internettet
Quoting Jesper Nøhr (jesper@noehr.org):
> Arghh! Jeg kørte en ``chkrootkit'', som reporterede at LKM Trojan måske
> var installed. Jeg checkede /usr/lib/.fx, og fandt en slags
> authorized_keys file. Den indeholder:
>
> <blablabla key> root@sweettoothcandy.net
>
> Jeg _aner_ ikke hvad det er for noget, men det tillader vel root adgang
> fra det host?
Der er masser af effektive metoder til at lave rav i den når først du
ikke længere kan stole på din kerne. Hvad kørte maskinen af services?
Hvilke versioner? Det er nok mest sandsynligt at du glemte at opgradere
noget software.
> Hvad s**** skal jeg gøre for at spore svinet? :-(
Det bliver nok svært, med mindre du sætter en sniffer op og er klar over
at han ikke overlejrer sin backconnectionshell gennem en allerede
etableret TCP/IP stream (yup, det er set gjort med stor success).
Det mest kedelige i din situation er at du har installeret snort, men
sandsynligvis har negliceret væsentligere ting i forbindelse med
sikkerhed.
-- j.
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:29 CET