|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Igor Beskrovny 2:4613/4.1 06 Sep 2001 22:28:00
To : Andrew Martovlos
Subject : Re: Разбоp полетов хакеpов
--------------------------------------------------------------------------------
Приветствую, Andrew!
05 сент 2001г. (ср) в 05:05 Andrew Martovlos писал Sergey Dudko:
AM> TID> И мне, если не тpудно на mail
>>>> А можно мне тоже?
s>> Я тоже хотел бы посмотpеть :)
AM> Sergey> Вот бня, неyжели все пpосители "кpякеpа интеpнета" из
AM> Sergey> РУ.ХАЦКЕР пеpебpались сюда ?
AM> Да нет, просто "слепой учит слепых" :)))
AM> Этот history комманд фигня полная.
Однако реальная.
AM> А вот на главный вопрос который задали жертве взлома,
AM> мол, откуда эти кульц хакеры из индонезии :))
IP адреса оттуда.
AM> взяли shell, ответа
AM> так и не прозвучало. Или я пропустил?
Знал бы я как они это сделали - здесь бы не спрашивал.
Короче были коннекты на ftp с нескольких IP адресов.
Приблизительно через пол дня зашли через телнет в домашний каталог юзера
postgres . Там сделали каталог ... (его обычный ls не видит) и командой
cat чегото запихнули в term.sh Потом отлогинились и залогинились снова и судя по
логу уже могли посмотреть passwd. Дальше уже не интересно. Скачивают разных
троянцев и проч, патчат проги. Hо то что они запихнули в term.sh вытерли вместе
с файлом. Вот мне и интересно что там было и как это работает. И зачем они потом
, уже имея shell, насколько я понимаю с правами рута скачивали luckyroot,
который насколько я понял запускает шелл запихиванием команд в стек.
У кого какие мысли будут по этому поводу?
С уважением,
Б.И.С.
--- GoldED 2.50.B1016+
* Origin: БИСов домик mailto: bis@pi.net.ua (2:4613/4.1)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
