From: per engelbrecht <none@per--xterm.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: SV: Underlig process nedlægger internettet Date: Sat, 14 Jun 2003 18:03:12 +0200
Hej Jesper
(.. som afslutning til mit tidligere indlaeg)
Alt efter hvad du har af tid til opgave, saa noejes med at konstatere at
du er blevet ramt. Hvis hackeren er dygtig nok, saa opdager du aldrig
hvad der skete, du finder aldrig det der er installeret og du faar
aldrig din maskine "tilbage" - han / hun ejer den indtil du har
reinstalleret den fra bunden af.
Hvis du er heldig, finder du en tagged folder - that's it. Selv om det
ser ud til at "wolfmann", "a9Ma10on" eller hvad de nu kalder sig,
kommer fra www.whatever.edu i .tw, saa kan du heller ikke regne med
det. Du finder dem aldrig - move on.
Glem alt om 5.x (endnu) koer 4.8 stable og husk:
1 installer KUN det du virkelig har brug for
(enkelt er flot, unix er smukt og GUI er overvurderet !)
2 laer dit OS at kende (.. og bagefter hvordan du sikre det)
(evt "Design and Implementation of the 4.4 BSD OS")
3 kend din TCP/IP og kontroller loebende hvad der foregaar
(ethereal, ngrep, netstat o.m.m.m.a.)
4 vaer diciplineret i dit arbejde .. og gerne lidt paranoid.
(sudo og ikke su, vaelg gode pwd, brug ACL, SSH og SSL)
Besoeg eventuelt Henrik Lund Kramshoej`s site www.security6.net og start
der.
Der er hackere der inden for Deres gren / felt er, hvad vores egen
Poul-Henning Kamp er indenfor FreeBSD kernen ... og Dem kan du aldrig
stoppe, men for Dem vil du heller aldrig udgoere en loenneligt maal.
Haaber dette kan bruges.
mvh
/per
On Saturday 14 June 2003 11:57, Jesper Nøhr wrote:
> Det ser altså utroligt underligt ud.
> Jeg tvivler på at jeg er blevet hacket.. Jeg kører en snort, og har
> lige kigget den ugentlige log igennem.
> Jeg ser intet usædvanligt i min log (de kan være cleaned
> selvfølgeligt), der er ingen andre brugere med uid 0, jeg kører ingen
> samba, jeg har søgt hele min disk igennem for ``slice'', den finder
> absolut intet af relevans.
> Jeg forstår det simpelthen ikke.. Hvad siger I; Skal jeg virkelig
> reinstalle til en 5.1'er?
>
> - Jesper
>
>
> -----Oprindelig meddelelse-----
> Fra: owner-bsd-dk@BSD-DK.dk [mailto:owner-bsd-dk@BSD-DK.dk] På vegne
> af per engelbrecht
> Sendt: 14. juni 2003 10:38
> Til: bsd-dk@bsd-dk.dk
> Emne: Re: Underlig process nedlægger internettet
>
>
> On Saturday 14 June 2003 09:17, Jesper Nøhr wrote:
> Jeg vil mene at din box (eller din router) er hacked, i et eller
> andet omfang. Siger du "slice" og xBSD, taenker jeg umiddelbart fdisk
> og disklayout, men det passer langt fra med din beskrivelse.
> Jeg er meget begejstret for isaer FreeBSD og vil til hver en tid
> plaedere for at BSD generelt er verdens bedste OS - men de kan altsaa
> hackes !
> Hvad siger `netstat` om aabne forbindelser ?
> Hvad koerer root i forhold til "standard" ? (ps auxw | grep root)
> Hvad siger authlog ? (er der evt "huller" i nogle af dine logfiler)
> Siger messages evt noget om aendrede MAC adresser paa fxp[0-9] ? Er
> der (kommet) flere uid 0 / gid 0 end root ? Er der mountet noget (evt
> i mfs) som du ikke kender til ? Koerer du tripwire, ipfw ? (og koerer
> de endnu) Koerer du med chroot / jails ? (er der kommet flere)
>
> Der er kun een vej og det er op ad bakke. Se lyst paa det, du har
> hele weekenden til at reetablere din box :)
> Forsoeg aldrig at lappe en hacked box, lad den doe og genopstaa som
> en ny og bedre (patched) box. God arbejdslyst !
>
> mvh
>
> /per
> per@xterm.dk
>
> > Hej liste,
> >
> > Jeg vågner her til morgen for at finde ud af at mit internet er
> > nede. Det er routed gennem en FreeBSD 4.7'er RELEASE-box, og har
> > hidtil kørt
> >
> > fejlfrit. Jeg roder lidt rundt på boxen, som spammer en masse til
> > tty1
> >
> > om at arpresolve ikke
> > kan resolve min routers IP, eller noget lign.
> > Jeg kan også se at LED'sne på min router blinker helt hysterisk
> > under LAN og activity.
> > Jeg kan ikke se andre løsninger end en reboot, så jeg vil lige se
> > uptime.
> > Der bemærker jeg så det underlige at load-avg er på over 8?!
> > Jeg checker i en top hvad der kører, og der kører en HEL masse
> > processor, under navnet 'slice'.
> > Jeg kører en ``man slice'', giver intet, bare 'slice', heller
> > ingenting. Hm. Jeg ``killall slice'', og med det samme, holder
> > blinkene op og alt virker perfekt.
> > Hvad er der lige sket her?
> > På forhånd tak.
> >
> > Mvh. / Best Regards,
> > Jesper Noehr -- <none@jesper--noehr.org.lh.bsd-dk.dk>
> > Holstebro, Denmark; http://printf.dk
> > Systems administrator, Coder, Geek.
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:29 CET