ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Igor Beskrovny                       2:4613/4.1     10 Sep 2001  22:26:00
 To : Arthur Araslanov
 Subject : Re: Рaзбор полетов хaкеров
 -------------------------------------------------------------------------------- 
 

          Приветствую, Arthur!
 
 09 сент 2001г. (вс) в 15:08 Arthur Araslanov писал Igor Beskrovny:
 
  AA> n5050!not-for-mail Igor Beskrovny wrote:
 
  IB>> Однако тот лог был в домашнем каталоге этого пользователя.
  AA> Это ровным счетом ни о чем не говорит :) Попробуй посмотреть
  AA> lastlog'ом и last'ом, хотя это тоже можно подправить но уже сложнее.
 
 Вот логи
 Это по ftp за неделю до взлома
 
 Aug 12 21:06:44 bis in.ftpd[1656]: connect from 172.188.8.81
 Aug 14 01:13:14 bis in.ftpd[2013]: connect from 193.253.239.71
 Aug 14 21:19:23 bis in.ftpd[3350]: connect from 209.67.29.202
 Aug 14 23:30:17 bis in.ftpd[3544]: connect from 210.218.171.209
 Aug 15 05:42:57 bis in.ftpd[4323]: connect from 212.187.116.32
 Aug 15 08:38:22 bis in.ftpd[5480]: connect from 195.230.135.202
 Aug 15 11:17:44 bis in.ftpd[6175]: connect from 212.179.232.72
 Aug 15 13:58:14 bis in.ftpd[6566]: connect from 211.115.147.67
 Aug 16 08:07:14 bis in.ftpd[9250]: connect from 216.242.84.146
 Aug 17 06:07:29 bis in.ftpd[12336]: connect from 211.251.212.65
 Aug 18 06:45:33 bis in.ftpd[21146]: connect from 193.125.78.46
 Aug 18 13:43:19 bis in.ftpd[21881]: connect from 217.3.244.52
 Aug 18 17:31:39 bis in.ftpd[22560]: connect from 62.131.229.25
 Aug 18 21:28:32 bis in.ftpd[24566]: connect from 217.228.78.200
 Aug 19 02:41:26 bis in.ftpd[27887]: warning: can't get client address:
 Connection reset by peer
 Aug 19 02:41:26 bis in.ftpd[27887]: connect from unknown
 Aug 21 11:54:42 bis in.ftpd[937]: connect from 66.61.161.77
 Aug 21 11:58:44 bis in.ftpd[942]: connect from 66.61.161.77
 Aug 21 12:06:56 bis in.ftpd[965]: connect from 66.61.161.77
 Aug 21 14:50:50 bis in.ftpd[1762]: connect from 211.211.57.177
 Aug 21 15:16:10 bis in.ftpd[1974]: connect from 172.154.52.96
 
 Это насколько часто сейчас сканится машина в и-нете :-)
 А вот логи что касается самого взлома
 
 Aug 18 04:05:58 bis in.fingerd[19130]: connect from 193.0.96.3
 Aug 18 04:05:58 bis in.fingerd[19131]: connect from 193.0.96.3
 Aug 18 04:06:00 bis in.fingerd[19134]: connect from 193.0.96.2
 Aug 18 04:06:00 bis in.fingerd[19135]: connect from 193.0.96.3
 Aug 18 04:06:00 bis in.fingerd[19136]: connect from 193.0.96.2
 Aug 18 04:44:03 bis in.fingerd[19874]: connect from 193.0.96.3
 Aug 18 04:44:03 bis in.fingerd[19875]: connect from 193.0.96.3
 Aug 18 04:44:14 bis in.fingerd[19878]: connect from 193.0.96.2
 Aug 18 04:44:26 bis in.fingerd[19880]: connect from 193.0.96.2
 Aug 18 06:20:09 bis in.fingerd[20685]: connect from 193.2.110.186
 Aug 18 06:45:33 bis in.ftpd[21146]: connect from 193.125.78.46
 Aug 18 13:43:19 bis in.ftpd[21881]: connect from 217.3.244.52
 Aug 18 17:31:39 bis in.ftpd[22560]: connect from 62.131.229.25
 Aug 18 21:28:32 bis in.ftpd[24566]: connect from 217.228.78.200
 Aug 19 01:56:51 bis in.fingerd[27538]: connect from 210.253.37.210
 Aug 19 01:56:51 bis in.fingerd[27539]: connect from 210.253.37.211
 Aug 19 02:41:25 bis in.telnetd[27886]: warning: can't get client address:
 Connection reset by
 peer
 Aug 19 02:41:25 bis in.telnetd[27886]: connect from unknown
 Aug 19 02:41:26 bis in.ftpd[27887]: warning: can't get client address:
 Connection reset by peer
 Aug 19 02:41:26 bis in.ftpd[27887]: connect from unknown
 Aug 19 02:42:15 bis in.fingerd[27889]: warning: can't get client address:
 Connection reset by
 peer
 Aug 19 02:42:15 bis in.fingerd[27889]: connect from unknown
 Aug 19 02:42:25 bis ipop3d[27891]: connect from 212.154.144.6
 Aug 19 02:44:10 bis in.rshd[27901]: warning: can't get client address:
 Connection reset by peer
 Aug 19 02:44:10 bis in.rshd[27901]: connect from unknown
 Aug 19 02:44:30 bis in.rlogind[27902]: connect from 212.154.144.6
 Aug 20 13:54:20 bis in.telnetd[1297]: connect from 64.110.178.17
 Aug 20 13:54:43 bis login: LOGIN ON 0 BY postgres FROM
 host-64-110-178-17.interpacket.net
 
 >                                        ^^^^^^^^
 
 Aug 20 14:04:55 bis in.telnetd[1365]: connect from 64.110.178.17
 Aug 20 14:11:22 bis in.telnetd[1377]: connect from 64.110.178.17
 Aug 20 14:12:09 bis login: LOGIN ON 0 BY postgres FROM
 host-64-110-178-17.interpacket.net
 Aug 20 17:06:27 bis in.telnetd[1811]: connect from 64.110.178.17
 Aug 20 17:07:07 bis login: LOGIN ON 0 BY postgres FROM
 host-64-110-178-17.interpacket.net
 Aug 20 17:15:58 bis in.telnetd[1873]: connect from 64.110.178.17
 Aug 20 17:16:36 bis login: LOGIN ON 1 BY postgres FROM
 host-64-110-178-17.interpacket.net
 Aug 20 17:17:23 bis in.telnetd[1894]: connect from 64.110.178.17
 Aug 20 17:18:51 bis in.telnetd[1899]: connect from 64.110.178.17
 Aug 20 17:20:12 bis in.telnetd[1908]: connect from 64.110.178.17
 Aug 20 17:21:04 bis login: LOGIN ON 1 BY postgres FROM
 host-64-110-178-17.interpacket.net
 Aug 20 17:59:29 bis in.telnetd[1995]: connect from 202.158.55.129
 Aug 20 18:01:26 bis in.telnetd[2010]: connect from 202.158.55.129
 Aug 20 18:02:59 bis in.telnetd[2014]: connect from 202.158.55.129
 Aug 20 18:03:33 bis login: LOGIN ON 0 BY postgres FROM ip55-129.cbn.net.id
 Aug 20 18:23:47 bis in.telnetd[2130]: connect from 64.110.178.17
 Aug 20 18:24:15 bis login: LOGIN ON 2 BY postgres FROM
 host-64-110-178-17.interpacket.net
 Aug 20 18:25:26 bis in.telnetd[2149]: connect from 202.185.77.123
 Aug 20 18:25:53 bis login: LOGIN ON 1 BY postgres FROM 202.185.77.123
 Aug 20 18:32:38 bis in.telnetd[3082]: connect from 202.158.55.129
 Aug 20 18:33:41 bis login: LOGIN ON 0 BY postgres FROM ip55-129.cbn.net.id
 Aug 20 18:44:11 bis in.telnetd[3306]: connect from 202.185.77.123
 Aug 20 18:44:43 bis login: LOGIN ON 1 BY postgres FROM 202.185.77.123
 Aug 21 11:54:42 bis in.ftpd[937]: connect from 66.61.161.77
 Aug 21 11:58:44 bis in.ftpd[942]: connect from 66.61.161.77
 Aug 21 12:06:56 bis in.ftpd[965]: connect from 66.61.161.77
 Aug 21 14:50:50 bis in.ftpd[1762]: connect from 211.211.57.177
 Aug 21 15:16:10 bis in.ftpd[1974]: connect from 172.154.52.96
 Aug 21 21:24:07 bis in.telnetd[4116]: connect from 213.82.255.5
 Aug 22 01:09:18 bis in.telnetd[4451]: connect from 80.62.34.93
 Aug 22 13:25:09 bis in.telnetd[1358]: connect from 202.185.77.123
 Aug 22 13:26:57 bis in.telnetd[1362]: connect from 202.185.77.123
 Aug 22 13:28:47 bis in.telnetd[1366]: connect from 202.185.77.123
 Aug 24 18:46:29 bis in.telnetd[17319]: connect from 213.213.127.3
 Aug 24 19:11:41 bis ipop3d[17362]: connect from 213.213.127.3
 Aug 24 19:13:44 bis in.telnetd[17368]: connect from 213.213.127.3
 Aug 25 12:47:26 bis in.telnetd[956]: connect from 213.82.255.10
 Aug 25 14:31:59 bis ipop3d[1105]: connect from 213.213.127.125
 Aug 25 14:45:12 bis ipop3d[1142]: connect from 213.213.127.125
 Aug 25 14:46:51 bis ipop3d[1158]: connect from 213.213.127.125
 Aug 25 14:47:38 bis ipop3d[1159]: connect from 213.213.127.125
 Aug 25 15:54:36 bis ipop3d[854]: connect from 213.213.127.137
 
  IB>>>> Вот что они в term.sh запихнули мне интересно. Можно ли чем
  IB>>>> нибудь этот удаленный файлик восстановить?
  AA>>> Есть вариант на тему, что они туда записали. У тебя случаем не
  AA>>> warftpd?
  IB>> wu-ftpd-2.6.0-14.6x
  AA> А core? Они создаются или core file size равен 0?
 
 Создаются. А где настраивается этот размер? Hе сталкивался с этим
     С уважением,
                           Б.И.С.
 
 --- GoldED 2.50.B1016+
  * Origin: БИСов домик mailto: bis@pi.net.ua (2:4613/4.1)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Разбор полетов хакеров   Igor Beskrovny   28 Aug 2001 20:45:00   Re: Разбор полетов хакеров   Vladimir Podgorny   30 Aug 2001 20:48:50   Re: Разбор полетов хакеров   …ўЈҐ­Ё© ‚ бЁ«мҐў   31 Aug 2001 01:22:08   Re: Разбор полетов хакеров   Igor Beskrovny   31 Aug 2001 21:52:00   Re: Разбор полетов хакеров   Stas Vlasov   31 Aug 2001 00:30:22   Разбор полетов хакеров   Timur I.Danyarhojaev   31 Aug 2001 10:42:28   Re: Разбор полетов хакеров   …ўЈҐ­Ё© ‚ бЁ«мҐў   31 Aug 2001 01:22:07   Разбор полетов хакеров   Yura Evdokimov   01 Sep 2001 17:15:06   Разбор полетов хакеров   Sergey Semernin   04 Sep 2001 17:53:19   Разбор полетов хакеров   Sergey Akifiev   31 Aug 2001 10:12:55   Re: Разбор полетов хакеров   Alexander Devitsky   03 Sep 2001 14:05:44   Re: hacking analyzing   Aleksey Barabanov   31 Aug 2001 15:01:57   Re: Разбор полетов хакеров   Alexander Afonyashin   31 Aug 2001 11:35:58   Рaзбор полетов хaкеров   Alexander Stavitsky   01 Sep 2001 01:51:02   Рaзбор полетов хaкеров   Sergey Akifiev   01 Sep 2001 13:19:41   Re: Рaзбор полетов хaкеров   Igor Beskrovny   01 Sep 2001 13:30:00   Рaзбор полетов хaкеров   Sergey Akifiev   01 Sep 2001 22:17:43   Re: Рaзбор полетов хaкеров   Igor Beskrovny   03 Sep 2001 18:39:00   Рaзбор полетов хaкеров   Sergey Akifiev   04 Sep 2001 20:54:42   Re: Рaзбор полетов хaкеров   Arthur Araslanov   06 Sep 2001 00:45:33   Рaзбор полетов хaкеров   Ilya Lobahin   06 Sep 2001 23:18:02   Re: Рaзбор полетов хaкеров   Arthur Araslanov   09 Sep 2001 15:14:10   Re: Рaзбор полетов хaкеров   Igor Beskrovny   06 Sep 2001 22:57:00   Re: hacking tracking   Aleksey Barabanov   07 Sep 2001 12:25:36   Re: Рaзбор полетов хaкеров   Arthur Araslanov   09 Sep 2001 15:08:25   Re: Рaзбор полетов хaкеров   Igor Beskrovny   10 Sep 2001 22:26:00   Re: Рaзбор полетов хaкеров   Maxim Timofeyev   11 Sep 2001 15:45:22   Re: Рaзбор полетов хaкеров   Maxim Timofeyev   06 Sep 2001 16:23:35   Re: Рaзбор полетов хaкеров   Arthur Araslanov   09 Sep 2001 22:33:12   Re: Рaзбор полетов хaкеров   Igor Beskrovny   10 Sep 2001 22:34:00   Re: Рaзбор полетов хaкеров   Maxim Timofeyev   10 Sep 2001 15:45:22   Re: hacking analyzing   Aleksey Barabanov   04 Sep 2001 11:36:12   Re: hacking analyzing   Igor Beskrovny   04 Sep 2001 19:02:00   Re: Разбор полетов хакеров   Dmitry Ivanov   01 Sep 2001 13:57:24