Hallo, auf Full-Disclosure gibt es zur Zeit eine interessante Diskussion, die hier startet:
http://lists.netsys.com/pipermail/full-disclosure/2004-August/025732.html (Achtung! Leider ist der Thread etwas "zerstückelt", was wohl daran liegt, dass einige Personen Mail-Programme nutzen, die kein In-Reply-To: setzen können. Also ruhig noch etwas weiter suchen) Was ist passiert? Ein Benutzer hat ein vollständig gepatches Woody-System aufgesetzt und zwei Nutzer-Accounts eingerichtet, admin und user. Beide Accounts hatten identischen Username und Paßwort, und es waren keine Accounts mit root-Rechten. Der Hintergrund ist der, dass in letzter Zeit ssh-Scans nach eben diesen Accounts durchgeführt wurden. Der Benutzer zeigt sich überrascht, dass offenbar schon kurz nach dem erfolgten Angriff das System gerootet war. Offenbar gibt es noch Sicherheitslücken, die entweder noch nicht bekannt, oder aber zumindest noch nicht gepatcht sind. Kennt irgend jemand bekannte Sicherheitslücken, die hier ausgenutzt worden sein könnten? Ich muss ehrlich zugeben, dass mich diese Erkenntniss dort nicht gerade beruhigt. Leider ist nicht angegeben, welchen Kernel er genau benutzt hat. Aber die .bash_profile (offenbar), die benutzt wurde, findet sich hier: http://lists.netsys.com/pipermail/full-disclosure/2004-August/025779.html (offenbar aber unvollständig) Gruß, Spiro. -- Spiro R. Trikaliotis http://www.trikaliotis.net/ http://www.viceteam.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)