|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Bash 2:5020/400 21 Jun 2003 05:05:15
To : Max Fedotov
Subject : Re: ptrace-kmod exploit на перл
--------------------------------------------------------------------------------
On Tue, 10 Jun 2003 10:36:42 +0400
Max Fedotov <Max.Fedotov@p20.f1.n5054.z2.fidonet.org> wrote:
MF> Hello, Maksim!
MF>
MF> 09 Jun 03 в 11:35, Maksim Rusakevich -=> black c0de о "ptrace-kmod exploit
MF> на
MF> перл":
MF>
MF> [...]
MF>
MF> MR> Как "поймать за руку" деятеля? то что порт открыт, я вижу, а вот
MF> MR> что за процесс его слушает - не знаю.
MF>
MF> Поскольку у тебя наверняка Линух, то man netstat на предмет ключика -p.
MF>
MF> Max.
MF>
Убивый нафиг этот процесс - увидишь с netstat -tap, или lsof (его обычно редко
патчат/подменяют - но надо надеяться что само ядро не было "запорото"
загружаемыми модулями). А потом chkrootkit - программа которая ищет рут-киты на
системе. Еще есть способ проверить все файлы по подписям MD5 - если у тебя
стоят RPM'ки - rpm -V. Если у тебя стоит tripwire аль другая фтука - то она
должна была тебе просигнализировать и по мылу скинуть измененные файлы в
системе. Еще очень желательно все логи кидать в какую-нить машинку (можно
взять списаную 486, аль другую), у которой нету никаких сервисов, только
syslog/syslog-ng настроеный на прием логов. Имхо системе в которой побывал
хакс0р, доверять больше нельзя и ее надо переставлять заново.
--
Biomechanical Artificial Sabotage Humanoid
--- ifmail v.2.15dev5
* Origin: DevNull Tech. (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
