From: Deniz CEVIK (deniz@intellect.com.tr)
Date: Wed 18 Apr 2001 - 13:41:28 EEST
Sifreni degistirmek çok bir sey degistirmeyecektir büyük bir
ihtimalle bir backdoor kullanar sistemine girmislerdir.
Loglarda ftp yaptiklarini gördügünü söylüyorsun. Eger redhat
sistemindeki ftp server wu-ftp ise bunun 2.6 sürümünde bir bug var. Ve
kullaniciya root haklari verebilyor. Bundan sonra sistemindeki gerekli
dosyalari degistirip telnet ile baglanmistir. Birinci olaslik bu.
Ikinci olasilik ise pop3 ile baglanti yaptigini gördügünü
söylemissin. Eger sisteminde rootdan baska kullanicilar var ise pop3
uzerinde brute force yaparak username password deneyip sisteme girmis
olabilirler pop3 üzerinden yerel agda dakikada 5000 den fazla olasilik
denenebiliyor.
Bu durumda yapman gereken ilk is eger ftp kullanmiyorsan bu
servisi iptal et. Veya uygun patchlerini yap. Gereksiz username password
varsa onlari iptal et.
/etc/inetd.conf dosyasini gözden geçir. Root sifreni gözden geçir. Kullanici
sisteme girdikten sonra tekrar root olmasini saglayacak backdoor lar
birakmis olabilir. Örnegin ls komutunu modifiye ederek bu komut çalisinca
root haklari verebiliyordur. Ancak bunlari yapabilmesi için sisteme
baglanmasi gerekli. Bu yuzden hosts.allow ve host.deny dosyalarinia gerekli
tanimlamalari yap. En önemlisi kernel’in 2.2.17 –2.2.18 seviyesinden asagida
olmamasina özen göster. Çünkü bundan önceki kernellarda çok önemli bir iki
bug var . Aslinda sistemi bastan kurmak en temizidir.
Son bir öneri retina diye çok güzel bir security analiz programi
var. www.eeye.com’dan <http://www.eeye.com'dan/> indirebilirsin. Bununla
sistemini gözden geçir. Gene ayni sekilde webtrends security analyzer var
buda isine yarayabilir. www.webtrends.com <http://www.webtrends.com/> .
Iyi sanslar.
Kirdirmayalim kendimizi.
-----Original Message-----
From: linux@listweb.bilkent.edu.tr [mailto:linux@listweb.bilkent.edu.tr]On
Behalf Of linux
Sent: 18 Nisan 2001 Çarşamba 12:51
To: Multiple recipients of list LINUX
Subject: [LINUX:27306] "hack"lendik!.. :-))
This site wuz hacked..
I strangled the hacker outside
Reinstall the server and be more carefully..
Good luck!... a whitehat from Ro
Makinamda "su" yazinca yada "root" olarak girince sabah bu mesaji aldim.
Anladik ki server'i birilerine kaptirmisiz. Acemilik iste..Okuyup birseyler
ogrenelim, uygulayalim da bilgimiz artsin siye kurdugumuz server, dun gece
hack'lenmis... Allah'tan onemli bir makina degildi, tekrar kurmak sorun
olmaz ama bazi dersler cikarmak icin bahane oldu.
Once root sifremi geri aldim. Bu listede donen mesajlari incaledim, ayni
konularda yazilan mesajlarda cozum vardi. Sonra loglara baktim. Geriye iz
birakmazlar diyordum, ama loglarda gece 2 ile 4 arasinda ftp, telnet, ve
pop3 baglantilari yapilmis (24.76.132.11 no'lu IP'den) . Bir anlami olur mu
bilmiyorum, ama IP'nin sahibini arayacagim net'ten...
Benim listeye sormak istedigim iki soru var:
1. Server uctu. Peki root sifresini geri alinca hersey duzelmis oluyor mu
(cunku hala yukarida yazan uyari gorunuyor, nereye koymuslar bilmiyorum,
silemiyorum)? Adamlarin nereye ne tur girisler yaptiklarini, ne tur zararlar
verdiklerini yada neleri degistirdiklerini nasil kontrol edebilirim? sistemi
yeniden kurmadan, tekrar guvenli hale getirebilir miyim?
2. Bu tip bir "hack" daha yememek icin gerekli olan minimum guvenlik
sartlari nelerdir? (port kapama, ssh vs..)
iyi calismalar
volkan evrin
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/