From: Nebi Senol Yilmaz (nsenol_yilmaz@yahoo.com)
Date: Mon 21 Jun 2004 - 20:57:06 EEST
herhangi bir yolla sisteminize girip rootkit felan kurmus olabilirler, mesela; ps, w, who , ls, netstat komutlarini degistirmis olabilirler.
guvendiginiz bir sistemden bu komutlari cekip calistirip ciktilari degerlendirmek lazim.
eger ki, ozellikle netstat ciktisinda bir cok baglanti gorurseniz buyuk bir ihtimalle veri caliniyordur, yada sisteme bir sniffer kurup aga ait tum biligileri gonderiyor bile olabilirler...
sistmei iyice bir inceleyin derim.
kolay gelsin...
Necati Ersen ŞİŞECİ <siseci@acikkod.org> wrote:
Merhaba,
last ve who komutları /var/log/wtmp ve utmp dosyalarına bakar.
lastlog komutu ile de hangi kullanıcıların en son nereden login
olduklarini
gorebilirsiniz (/var/log/lastlog dosyasini kullanır).
utmp, /etc de /var/run da /var/log da olabilir.
Bu dosyaları kontrol edin.
Bir de loglardan goruldugu uzere, openwebmail kullanıyorsunuz ve bu
kişi,
openwebmail ile sisteminizde
bir şeyler calistirmaya calismis.
/tmp/w00t dosyasını kontrol edin, bu dosya varsa basarili olmus
olabilr.
Sistemde komut calistirabiliyorsa, wget gibi bir programla istedigi
programi
sizin
makinenize download ettirip, gcc ile derletebilir.
netstat -plutn komutu ile acik portları hangi programların actigini
gorebilirsiniz.
www.securiteam.com adresinden openwebmail diye aratın, size kendi
veritabanlarindaki
aciklari gosterecektir. Eger sizdeki openwebmail de acik varsa en kisa
surede
daha yeni versiyonlara gecin.
Bu programin ne is yaptigini da incelemenizi tavsiye ederim.
Buyu ihtimal bir port acip uzak kullanicilarin baglanmasina imkan
veriyordur.
Bir de apache yi root olarak calistirmadiginizdan emin. httpd.conf da
user
diye bir
kisim olmasi gerekiyor.
Bir de, aşagida iki kere ust uste,
chmod 755 /tmp/w00t
exec /tmp/w00t
yapilmis. Iki kere calistirdigina gore ya istediginde basarili olamadi,
yada emin olmak icin iki kere calistirdi.
Iyi calismalar.
Necati Ersen ŞİŞECİ
siseci@acikkod.org
http://www.acikkod.org
-----Original Message-----
From: linux-network-bounce@liste.linux.org.tr
[mailto:linux-network-bounce@liste.linux.org.tr] On Behalf Of Latife
ZEYTİNELİ
Sent: Monday, June 21, 2004 1:34 PM
To: linux-network@liste.linux.org.tr
Subject: [linux-network] who komutu
merhaba
who edigim zaman sadece kendimi goruyorum root oldugum halede diger
kullanıcalrı goremiyorum bu neyden kaynaklanabilir.
birilerinin sisteme girdiginden supheleniyorum last dedigimde sadece
kendimi
goruyorum oysa baska yerlerden baglananlar var onları goremiyorum ve
surekli
syslogd den mesaj geliyor birileri farklı isimde oturum acmıs lutfen
acil
olarak bu konuda yardımcı olurmusunuz kolay gelsin birde su mesaj
geldi Dear
Sir/Madame, This Saturday (190604) somebody tried to gain root
privileges on
a server in our serverpark. According to the log facility it was
somebody
out of your ip space.
First he tried to gain shell acces by missusing some openwebmail bug and
then he tried to exploit the kernel with a local kernel exploit. We have
also found a script, it looks like there is some sort of deamon
listening on
194.27.44.15 who is waiting for connections from the script, maybe some
sort
of autorooter/worm.
I hope you could have a look at this matter asap.
Kind Regards,
GrafiX Internet B.V.
Marcel Haman
access_log.1:194.27.44.15 - - [19/Jun/2004:14:12:40 +0200] "GET
/cgi-bin/openwebmail/userstat.pl?loginname=|chmod%20755%20/tmp/w00t
HTTP/1.0" 200 151
access_log.1:194.27.44.15 - - [19/Jun/2004:14:17:41 +0200] "GET
/cgi-bin/openwebmail/userstat.pl?loginname=|exec%20/tmp/w00t HTTP/1.0"
200 -
access_log.1:194.27.44.15 - - [19/Jun/2004:14:17:53 +0200] "GET
/cgi-bin/openwebmail/userstat.pl?loginname=|chmod%20755%20/tmp/w00t
HTTP/1.0" 200 151
access_log.1:194.27.44.15 - - [19/Jun/2004:14:17:55 +0200] "GET
/cgi-bin/openwebmail/userstat.pl?loginname=|exec%20/tmp/w00t HTTP/1.0"
200 151
access_log.1:67.166.132.228 - - [19/Jun/2004:20:48:08 +0200] "GET
/cgi-bin/formmail.pl?email=f2%40aol%2Ecom&subject=www%2Emaffiafeest%2
Ecom%
2Fcgi%2Dbin%2Fformmail%2Epl&recipient=cgiscanner%40mail%2Enu&msg=w00t
HTTP/1.1Content-Type: application/x-www-form-urlencoded" 400 299
------- End of Forwarded Message -------
---------------------------------
Do you Yahoo!?
Yahoo! Mail - 50x more storage than other providers!