From: Ayse Sanli (ayse@tapu.gov.tr)
Date: Fri 30 Mar 2001 - 17:10:25 EEST
Merhaba,
Bende birseyler soylemek istedim. Gecen gun yine listeye gonderilen
linkteki lion.html 'den bazi onemli noktalar.
lion worm randb diye adlandirilan bir aplikasyon ile yayiliyor. randb TCP
port 53 araciligiyla class B network 'u duzenli olarak tariyor.
systemde zayif noktayi buldugu an oraya yerlesip t0rn toolkiti install
ediyor.
On Fri, 30 Mar 2001, Mehmet Karaca wrote:
> haberin kaynagini sormayin lutfen:
>
>
> Bilgisayardaki sifreleri çalan ve temizlemesi çok zor olan Lion hizla
> yayiliyor
> Linux isletim sistemiyle çalisan bilgisayarlardan sifreleri çalabilen
> bir solucanin internet üzerinde yayildigi belirtildi. Lion adli solucan
> internete bagli her makine için anahtar konumunda bulunan BIND (Berkeley
> Internet Name Domain)
> yazilimindaki bilinen bir açigi kullaniyor.
---------------------------------------------------------------------
china.com adresine gittigi soylenen ifconfig+passwd+shadow dosyalarinin
root 'ta geri geldigi mesaj ile ilgili olarak bizden kismi bir ornek :)
---------------------------------------------------------------------
**********************************************
** THIS IS A WARNING MESSAGE ONLY **
** YOU DO NOT NEED TO RESEND YOUR MESSAGE **
**********************************************
The original message was received at Mon, 19 Mar 2001 20:18:20 +0200
from root@localhost
----- The following addresses had transient non-fatal errors -----
1i0nip@china.com
----- Transcript of session follows -----
451 1i0nip@china.com... china.com: Name server timeout
Warning: message still undelivered after 4 hours
Will keep trying until message is 5 days old
--AAF00358.985042564/tapu.gov.tr
Content-Type: message/delivery-status
Reporting-MTA: dns; tapu.gov.tr
Arrival-Date: Mon, 19 Mar 2001 20:18:20 +0200
Final-Recipient: RFC822; 1i0nip@china.com
Action: delayed
Status: 4.4.3
Last-Attempt-Date: Tue, 20 Mar 2001 00:56:04 +0200
Will-Retry-Until: Sat, 24 Mar 2001 20:18:20 +0200
--AAF00358.985042564/tapu.gov.tr
Content-Type: message/rfc822
Content-Transfer-Encoding: 8bit
Return-Path: <root>
Received: (from root@localhost)
by tapu.gov.tr (8.9.3/8.9.3) id UAA31815
for 1i0nip@china.com; Mon, 19 Mar 2001 20:18:20 +0200
Date: Mon, 19 Mar 2001 20:18:20 +0200
From: root <root>
Message-Id: <200103191818.UAA31815@tapu.gov.tr>
To: 1i0nip@china.com
eth0 Link encap:Ethernet HWaddr ............
...............
....................
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
...................
..................
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
..........
........
ve altta da sahadow dosyasi ekli idi.
-------------------------------------------------------
Sanirim china.com domain'i bir aldatmaca.
lionfind 'u ilgili yerden download ederek lion files'lari (system
uzerindeki etkilenen dosyalari) bulabilirsiniz.
ancak yasadigim baska bir sorun da
/usr/src altindaki .puta dizini ve icindeki hidden dosyalar idi.
Dizin ve dosyalar hidden. Bunlari lsattr .* ile gormeniz ve ekli
attibuteleri yok edebilirsiniz. Ancak ben dizini silemedim. Tum
ugraslarima ragmen... Cunku dosyalardan biri .1addr ve "/"
partition'u doldurup mail server'in calismasini durdurdu.
Bu konuda Murat Koc 'dan yardim aldim. Ve ifconfig, ls, vb dosyalarin
yenilenmesinde
onun adina konusmak oluyor ancak sanirim sorun yasanirsa yardimci
olacaktir.
Su an icin bir sorun yok ve umarim olmaz.
Saygilarimla
A.Sanli
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/