From: linux (linux@karel.com.tr)
Date: Wed 18 Apr 2001 - 12:51:49 EEST
This site wuz hacked..
I strangled the hacker outside
Reinstall the server and be more carefully..
Good luck!... a whitehat from Ro
Makinamda "su" yazinca yada "root" olarak girince sabah bu mesaji aldim. Anladik ki server'i birilerine kaptirmisiz. Acemilik iste..Okuyup birseyler ogrenelim, uygulayalim da bilgimiz artsin siye kurdugumuz server, dun gece hack'lenmis... Allah'tan onemli bir makina degildi, tekrar kurmak sorun olmaz ama bazi dersler cikarmak icin bahane oldu.
Once root sifremi geri aldim. Bu listede donen mesajlari incaledim, ayni konularda yazilan mesajlarda cozum vardi. Sonra loglara baktim. Geriye iz birakmazlar diyordum, ama loglarda gece 2 ile 4 arasinda ftp, telnet, ve pop3 baglantilari yapilmis (24.76.132.11 no'lu IP'den) . Bir anlami olur mu bilmiyorum, ama IP'nin sahibini arayacagim net'ten...
Benim listeye sormak istedigim iki soru var:
1. Server uctu. Peki root sifresini geri alinca hersey duzelmis oluyor mu (cunku hala yukarida yazan uyari gorunuyor, nereye koymuslar bilmiyorum, silemiyorum)? Adamlarin nereye ne tur girisler yaptiklarini, ne tur zararlar verdiklerini yada neleri degistirdiklerini nasil kontrol edebilirim? sistemi yeniden kurmadan, tekrar guvenli hale getirebilir miyim?
2. Bu tip bir "hack" daha yememek icin gerekli olan minimum guvenlik sartlari nelerdir? (port kapama, ssh vs..)
iyi calismalar
volkan evrin
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/