ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alexander Pechenin                   2:5020/400     26 Dec 2001  00:37:49
 To : All
 Subject : Hе пойму, объявился хакер что ли? pppd....
 -------------------------------------------------------------------------------- 
 

 Имею FreeBSD 4.1.1 с поднятым pppd версии 2.3.11
 Hедавно заметил такую странную вещь.
 Завелся какой-то юзер невидимка, который начал работать вечерами.
 
 Заметил это следующим образом, по "ps ax" виден дополнительный запущенный
 процесс pppd на определенное устройство, например ttyd8, хотя по списку
 работающих в системе на данный момент юзеров никакого пользователя на линии
 d8 нет!
 Hет ничего, только висящий процесс и соответственно занятый номер телефона.
 Сшибаешь этот процесс, запускается спустя время другой, на этой же или
 другой линии, то есть это не зомби и не прочие системные ошибки, а что-то
 имено интеллектуальное!
 
 Вот пример запущенных процессов по ps ax, относящихся к pppd:
 
  4056  dc  Is+    0:00.07 pppd auth refuse-chap require-pap login lock debug
 87068  dg  IWs+   0:00.00 pppd auth refuse-chap require-pap login lock debug
 Более того, у меня запускаются скрипты auth-up и auth-down во время
 подключения\отключения пользователя, с записью имени последнего и прочей
 сопутствующей информации в файл. При подключении пользователя-невидимки эти
 скрипты не отрабатываются вовсе!
 В /var/log/pppd.log каким-то нелепым образом "опускается" момент
 авторизации, то есть не фиксируется логин подключающегося пользователя, как
 при подключении остальных, то есть опускаются примерно следующие строки
 авторизации:
 
 ...
 Dec 25 23:19:03 mrrc pppd[3777]: rcvd [PAP AuthReq id=0x2 user="vasya"
 password=<hidden>]
 Dec 25 23:19:03 mrrc pppd[3777]: user vasya logged in
 Dec 25 23:19:03 mrrc pppd[3777]: sent [PAP AuthAck id=0x2 "Login ok"]
 ...
 
 Вот сессия подключения такого пользователя из /var/log/pppd.log:
 Dec 25 22:56:25 mrrc pppd[3934]: pppd 2.3.11 started by root, uid 0
 Dec 25 22:56:25 mrrc pppd[3934]: Using interface ppp1
 Dec 25 22:56:25 mrrc pppd[3934]: Connect: ppp1 <--> /dev/ttydd
 Dec 25 22:56:25 mrrc pppd[3934]: sent [LCP ConfReq id=0x1 <asyncmap 0x0>
 <auth pap> <magic 0x72de0be6> <pcomp> <accomp>]
 Dec 25 22:56:28 mrrc pppd[3934]: rcvd [LCP ConfReq id=0x3 <asyncmap 0xa0000>
 <magic 0x6637d6> <pcomp> <accomp> <callback CBCP>]
 Dec 25 22:56:28 mrrc pppd[3934]: sent [LCP ConfRej id=0x3 <callback CBCP>]
 Dec 25 22:56:28 mrrc pppd[3934]: rcvd [LCP ConfReq id=0x4 <asyncmap 0xa0000>
 <magic 0x6637d6> <pcomp> <accomp>]
 Dec 25 22:56:28 mrrc pppd[3934]: sent [LCP ConfAck id=0x4 <asyncmap 0xa0000>
 <magic 0x6637d6> <pcomp> <accomp>]
 Dec 25 22:56:28 mrrc pppd[3934]: sent [LCP ConfReq id=0x1 <asyncmap 0x0>
 <auth pap> <magic 0x72de0be6> <pcomp> <accomp>]
 Dec 25 22:56:29 mrrc pppd[3934]: rcvd [LCP ConfNak id=0x1 <auth chap 80>
 <magic 0x72de0be6>]
 Dec 25 22:56:29 mrrc pppd[3934]: sent [LCP ConfReq id=0x2 <asyncmap 0x0>
 <magic 0xaed288c3> <pcomp> <accomp>]
 Dec 25 22:56:29 mrrc pppd[3934]: rcvd [LCP ConfAck id=0x2 <asyncmap 0x0>
 <magic 0xaed288c3> <pcomp> <accomp>]
 Dec 25 22:56:29 mrrc pppd[3934]: sent [IPCP ConfReq id=0x1 <addr
 192.168.2.1> <compress VJ 0f 01>]
 Dec 25 22:56:29 mrrc pppd[3934]: rcvd [CCP ConfReq id=0x1 < 12 06 00 00 00
 
 01> < 11 05 00 01 04>]
 
 Dec 25 22:56:29 mrrc pppd[3934]: Unsupported protocol 'Compression Control
 Protocol' (0x80fd) received
 Dec 25 22:56:29 mrrc pppd[3934]: sent [LCP ProtRej id=0x3 80 fd 01 01 00 0f
 12 06 00 00 00 01 11 05 00 01 04]
 Dec 25 22:56:29 mrrc pppd[3934]: rcvd [IPCP ConfAck id=0x1 <addr
 192.168.2.1> <compress VJ 0f 01>]
 Dec 25 22:56:32 mrrc pppd[3934]: rcvd [IPCP ConfReq id=0x2 <compress VJ 0f
 
 01> <addr 192.168.2.1> <ms-dns1 0.0.0.0> <ms-wins 0.0.0.0> <ms-dns3 0.0.0.0>
 
 <ms-wins 0.0.0.0>]
 Dec 25 22:56:32 mrrc pppd[3934]: sent [IPCP ConfRej id=0x2 <ms-wins 0.0.0.0>
 <ms-wins 0.0.0.0>]
 Dec 25 22:56:32 mrrc pppd[3934]: sent [IPCP ConfReq id=0x1 <addr
 192.168.2.1> <compress VJ 0f 01>]
 Dec 25 22:56:32 mrrc pppd[3934]: rcvd [IPCP ConfReq id=0x3 <compress VJ 0f
 
 01> <addr 192.168.2.1> <ms-dns1 0.0.0.0> <ms-dns3 0.0.0.0>]
 
 Dec 25 22:56:32 mrrc pppd[3934]: sent [IPCP ConfNak id=0x3 <addr
 192.168.2.11> <ms-dns1 194.194.194.194> <ms-dns3 194.194.194.195>]
 Dec 25 22:56:32 mrrc pppd[3934]: rcvd [IPCP ConfAck id=0x1 <addr
 192.168.2.1> <compress VJ 0f 01>]
 Dec 25 22:56:32 mrrc pppd[3934]: rcvd [IPCP ConfReq id=0x4 <compress VJ 0f
 
 01> <addr 192.168.2.11> <ms-dns1 194.194.194.194> <ms-dns3 194.194.194.195>]
 
 Dec 25 22:56:32 mrrc pppd[3934]: sent [IPCP ConfAck id=0x4 <compress VJ 0f
 
 01> <addr 192.168.2.11> <ms-dns1 194.194.194.194> <ms-dns3 194.194.194.195>]
 
 Dec 25 22:56:32 mrrc pppd[3934]: local  IP address 192.168.2.1
 Dec 25 22:56:32 mrrc pppd[3934]: remote IP address 192.168.2.11
 То есть все как бы нормально, "нечто" подключилось к системе и работает,
 присвоенный "ему" IP-адрес 192.168.2.11 пропинговывается нормально!
 Что это такое вообще?
 --- ifmail v.2.15dev5
  * Origin: MAXnet Systems (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Hе пойму, объявился хакер что ли? pppd....   Alexander Pechenin   26 Dec 2001 00:37:49   Re: Hе пойму, объявился хакер что ли? pppd....   Alexander Pechenin   26 Dec 2001 11:29:31   Hе пойму, объявился хакер что ли? pppd....   Andrew E. Filonov   26 Dec 2001 09:43:55   Re: Hе пойму, объявился хакер что ли? pppd....   Alexander Pechenin   26 Dec 2001 16:20:29   Re: Hе пойму, объявился хакер что ли? pppd....   Valentin Nechayev   28 Dec 2001 09:34:28   Hе пойму, объявился хакер что ли? pppd....   Andrey Demidenko   26 Dec 2001 09:46:00   Re: Hе пойму, объявился хакер что ли? pppd....   Alexander Pechenin   26 Dec 2001 18:29:17   Re: Hе пойму, объявился хакер что ли? pppd....   Igor Sysoev   26 Dec 2001 19:06:06   Re: Hе пойму, объявился хакер что ли? pppd....   Alexander Pechenin   26 Dec 2001 20:01:12