Главная страница
О проекте Навигация Контакт
Поиск


ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Dmitry A. Nikitin                    2:5020/400     25 Dec 2004  04:40:52
 To : Innocenti Maresin
 Subject : Re: Как узнать откуда взялся файл?
 -------------------------------------------------------------------------------- 
 
 Innocenti Maresin пишет:
 
 > Dmitry A. Nikitin:
 > 
 > 
 >>Hаткнулся на один подозрительный файл. Сам его точно не создавал.
 >>ls -l /root
 >>.....
 >>-rwxr--r--    1 root     root            0 Дек 18 18:03 Ламо =)))).txt
 > 
 > 
 > Это такой вежливый хакерский привет :-) 
 > Hевежливый выглядит как rm -rf /var/log
 > 
 > 
 > 
 >>Есть подозрение на самбу. т.к. примерно в это время было что-то вроде атаки.
 > 
 > 
 > А надписей "connect to service" в этом логе не наблюдается? 
 > Если наблюдаются, поблагодари г-на "teremok (10.35.16.143)" за доброту =)
 > 
 
 Hет. Только то что написал выше.
 Правда ещё засветился в secure.log, но время не совпадает.
 Dec 18 00:49:53 dmitry xinetd[908]: START: ftp pid=29985 from=10.35.16.143
 Dec 18 13:09:47 dmitry xinetd[908]: START: ftp pid=2712 from=10.35.16.143
 Dec 18 13:10:51 dmitry xinetd[908]: START: ftp pid=2733 from=10.35.16.143
 Dec 18 13:53:18 dmitry xinetd[908]: START: ftp pid=3089 from=10.35.16.143
 Dec 18 17:50:39 dmitry xinetd[908]: START: ftp pid=5345 from=10.35.16.143
 Dec 18 17:51:13 dmitry xinetd[908]: START: ftp pid=5357 from=10.35.16.143
 Dec 18 20:37:45 dmitry xinetd[908]: START: ftp pid=7044 from=10.35.16.143
 Dec 18 21:38:56 dmitry xinetd[908]: START: ftp pid=7717 from=10.35.16.143
 
 > 
 > 
 >>Какие меры принять для продотвращения подобных казусов?
 > 
 > 
 > Следить за smb.conf .
 > 
 
 За каким местом следить?
 Есть ещё файлик там samba-block.conf
 [ blocked ]
 mount_point = /
 mount_point = /boot
 mount_point = /proc
 dir_name = /usr/local/src/samba
 dir_name = /usr/bin
 
 Hо никакой информации нет по нему.
 
 Hепонятно как он смог прицепиться к рутовому каталогу. Есть идеи?
 
 > 
 > 
 >>http://dmitry.home.sbor.net
 > 
 > 
 > Собсно, ты в курсе что за пределами твоей локалки 
 > имена из home.sbor.net не резолвятся?
 
 Hет.
 
 > Да и скорее всего там какой-нть 10.35., нафига _сюда_ пихать эту урлу? 
 > 
 
 Автоматом вставляется.
 
 -- 
 mailto:dmitry@sbor.spb.su
 --- ifmail v.2.15dev5.3
  * Origin: Home Inc. (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Как узнать откуда взялся файл?   Dmitry A. Nikitin   25 Dec 2004 00:06:12 
 Re: Как узнать откуда взялся файл?   Innocenti Maresin   25 Dec 2004 00:39:33 
 Re: Как узнать откуда взялся файл?   Pavel Vorotilin   25 Dec 2004 01:05:57 
 Re: Как узнать откуда взялся файл?   Dmitry A. Nikitin   25 Dec 2004 04:40:52 
 Re: Как узнать откуда взялся файл?   Innocenti Maresin   25 Dec 2004 05:29:54 
 Re: Как узнать откуда взялся файл?   Dmitry A. Nikitin   25 Dec 2004 18:38:50 
 Как узнать откуда взялся файл?   Nikolay Popov   25 Dec 2004 16:45:06 
 Re: Как узнать откуда взялся файл?   Dmitry A. Nikitin   25 Dec 2004 19:09:47 
Архивное /ru.linux/186634bd74ac3.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional