From: Ilker Gokhan (IlkerG@sumerbank.com.tr)
Date: Wed 18 Apr 2001 - 13:35:56 EEST
1- Bu tip durumlarda sistemine trojan lar birakilmis olabileceginden,
yapilabilecek yegane is o sistemi sifirdan yeniden kurmaktir. Bir sistemde
kurulum yaptiktan sonra makinanin md5sum ile (freeBSD de mtree ile) butun
sistemindeki dosyalarin MD5 checksumlarini alarak her gece bunu
otomatiklestirdiginde sistemine yapilan herhangi bir trojan icin kendini
haberdar eden bir sistem kurabilirsin. Ben de bugunlerde bu is icin bir
makale yazmayi dusunuyordum. Yakinda http://www.linux.org.tr/people/ilker
<http://www.linux.org.tr/people/ilker> den edinebilirsiniz.
2- Bu konuda Berk ve Burak in AB 2001 de guzel bir prezentasyonlari vardi
http://www.linux.org.tr/ <http://www.linux.org.tr/belgeler> den katinilan
konferanslar bolumunde bulabilirsiniz..Bu konu anlatmayla bitmez.. :-)
Saygilarimla,
Ilker G.
-----Özgün Ileti-----
Kimden: linux [mailto:linux@karel.com.tr]
Tarih: Wednesday, April 18, 2001 12:51 PM
Kime: Multiple recipients of list LINUX
Konu: [LINUX:27306] "hack"lendik!.. :-))
This site wuz hacked..
I strangled the hacker outside
Reinstall the server and be more carefully..
Good luck!... a whitehat from Ro
Makinamda "su" yazinca yada "root" olarak girince sabah bu mesaji aldim.
Anladik ki server'i birilerine kaptirmisiz. Acemilik iste..Okuyup birseyler
ogrenelim, uygulayalim da bilgimiz artsin siye kurdugumuz server, dun gece
hack'lenmis... Allah'tan onemli bir makina degildi, tekrar kurmak sorun
olmaz ama bazi dersler cikarmak icin bahane oldu.
Once root sifremi geri aldim. Bu listede donen mesajlari incaledim, ayni
konularda yazilan mesajlarda cozum vardi. Sonra loglara baktim. Geriye iz
birakmazlar diyordum, ama loglarda gece 2 ile 4 arasinda ftp, telnet, ve
pop3 baglantilari yapilmis (24.76.132.11 no'lu IP'den) . Bir anlami olur mu
bilmiyorum, ama IP'nin sahibini arayacagim net'ten...
Benim listeye sormak istedigim iki soru var:
1. Server uctu. Peki root sifresini geri alinca hersey duzelmis oluyor mu
(cunku hala yukarida yazan uyari gorunuyor, nereye koymuslar bilmiyorum,
silemiyorum)? Adamlarin nereye ne tur girisler yaptiklarini, ne tur zararlar
verdiklerini yada neleri degistirdiklerini nasil kontrol edebilirim? sistemi
yeniden kurmadan, tekrar guvenli hale getirebilir miyim?
2. Bu tip bir "hack" daha yememek icin gerekli olan minimum guvenlik
sartlari nelerdir? (port kapama, ssh vs..)
iyi calismalar
volkan evrin
Bu e-postada bulunan tüm fikir ve görüsler ve ekindeki dosyalar sadece adres
sahib(ler)ine ait olup, Sümerbank A.S hiç bir sekilde sorumlu tutulamaz.
The information contained in this E-Mail and any files transmitted with it
are intended solely for the use of the individual or entity to whom they are
addressed and do not reflect those of Sumerbank A.S.
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/