From: Umut (php@kakalak.org)
Date: Sat 24 Apr 2004 - 23:59:57 EEST
enginaar©> Öncelikle selamlar arkadaşlar,
enginaar©> Web server olarak RedHat 7.2 yüklü bir bilgisayarım vardı. Vardı diyorum çünkü birinin saldırısına uğradı. Saldırgan rm -rf * yaparak zevkin doruklarına ulaşırken bende makinamı kapatmaya çalışıyordum, shutdown -h now, reboot, init 0 komutlarının hepsi "Artık böyle birşey yok, geçmiş olsun" şeklinde ingilizce hatalar veriyordu, root şifrem değişmişti ve /bin, /sbin klasörlerini de bulamıyordum. Yapacak başka birşey olmadığından bilgisayarımı elle kapattım. Neyseki dosyalarımın tamamı uçmamış ve bilgisayarımı tekrardan kurabiliyorum.
enginaar©>
enginaar©> Sormak istediğim bir insan bunu nasıl yapabilir. (Hadi vicdansızmış onu anladık.) Bildiğim birkaç yol var o yüzden, rootkit taraması yaptım, birşey elde edemedim, "who" komutu ile bağlananlara baktım sadece ben varım. Exploitlerden şüpheleniyorum, bilgisayarımda exploit taraması yapmak istiyorum ama bunu nasıl yapacağımı bilmiyorum ve bir daha böyle birşeyin başıma gelmesini istemiyorum.
epey eski tarihli iki iletimi tekrar listeye post ettim.
onlar icinde tecrubeye dayali tavsiyeler var.
Bunun disinda listelerde sik sik soyleniyor.
production icin bu kadar eski dagitimlardan kullanmayin.
yapilacak sey, temiz bir dagitim kurun, sonra datalarinizi ve konfigurasyonlarinizi
oraya aktarin.
Bu nasil oldu? Nerede linux guvenligi diye soracaksaniz su sorulara cevap verin:
Kernel versiyonu?
Calisan ve internete acik servislerin versiyonlari?
En son ne zaman nmap ya da nessus tarzi bir aracla remote olarak taradiginiz?
Bu arada
/var/log/syslog
/var/log/messages
/var/log/secure
/var/log/transfer
vss
dosyalari duruyorsa epey bilgi olacaktir iclerinde.
genel olarak bilginiz olsun: son donemlerdeki linux aciklarinin (ssh'daki bir acik haric) cok buyuk kismi
iceriden, yani kullanicilariniz tarafindan yapilacak seyler.
saygilar.
Umut
-- This message has been scanned for viruses and dangerous content, and is believed to be clean.