Witam. Dzisiaj wykryłem w swoim systemie włam, który miał miejsce wczoraj w okolicach godziny 20. Atakujący poprzez httpd ściągnął pliki h.1, h.2, dc.1, dc.2, dc, h, psy.tgz. Zapisane zostały w katalogu /tmp, psy.tgz został rozpakowany do /tmp/.bash, następnie atakujący odpalił program /etc/.bash/CROND jako uid/gid http/http. CROND to psybot (irc-bot), który tworzy socketa słuchającego na 6667. Do tego odpalony został mail na porcie 1025 również z http/http.
Z logów wynikałoby, że ktoś wykorzystał skrypt awstats, który właśnie konfigurowałem (teraz wywaliłem to w cholerę). I jeszcze znalazłem z ciekawostek zapytanie w postaci: GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\ XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\ XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u909\ 0%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090\ %u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 ale Apache odpowiedziało na nie 404. W związku z powyższym mam kilka pytań: już sprawdziłem rpm -Va i porównałem z bazą aide i tripwire i wygląda na to, że wszystko jest ok. Włamywacz nie zdobył roota, stworzył tylko to co wymieniłem. Nie skasował logów, nic. Mam pytanie - jak teraz się zabezpieczyć, żeby taka sytuacja się nie powtórzyła w przyszłości. No i czy to jest tak, jak ja się domyślam, czy może wydaje mi się to, co ma mi się wydawać... ? No i jeszcze - chcę wrzucić httpd do chroota, mysql też. Mam pytanie, czy ten nasz rc-scriptowy sys-chroots to działa? I jak się go obsługuje, bo nie bardzo jest dokumentacja do tego? Wydaje mi się, że mam przygotować normalne chrootowane środowisko dla każdej usługi, a potem chyba odpalić service sys-chroots start? Pozdrawiam ŁJ -- Wszędzie słyszę krzyk. Cierpień nieustająca melodia.... GG:0x4BE039 lukasz < w > sanity.int.pl _______________________________________________ pld-users-pl mailing list pld-users-pl@pld-linux.org http://lists.pld-linux.org/mailman/listinfo/pld-users-pl