Polaren blev Crackad!

btg · Inlägg av **btg** » 18 okt 2004 22:13

satt idag (18/10-04)och lekte med polarens irc server,körde nmap mot localhost och fick upp att porten 31337 (!!) var öppen för en tjänst som kallade sig "Elite"

vi tog snabbt reda på vad programmet hette (igenom att nc'a till porten och läsa outputen). programmet hette "psyBNC" och efter ett snabbt "ps ax" hittade vi processens id. /proc/$PID/cwd påvisa att programmet låg i /var/tmp. där i tmp kattalogen låg programmets .tar.gz fil och programmets uppackade mapp.

Någon har tagit sig in, laddat ner och packat upp skiten, och kört igång. hur? vi vet inte riktigt vad vi skall börja leta... servern kör Apache, proftpd, bahamut och sshd.

tack på förhand.

exz · Inlägg av **exz** » 19 okt 2004 09:47

tips:

kolla netstat -lNap och leta efter psybnc processen. har du tur så kanske han är inloggad så får du hans ip-adress och kan skicka den till abuse.

btg · Inlägg av **btg** » 19 okt 2004 09:57

jag slaktade natuligtvis processen så fort jag identifierat den...

spinax · Inlägg av **spinax** » 25 okt 2004 04:10

installera om. enda säkra

btg · Inlägg av **btg** » 28 okt 2004 21:47

vi har hittat vart dem tog sig in tror vi

vi jobbar just nu med brandväggar och andra säkerhets problem. vi har kommit fram till att dem är garanterat bättre på säkerhet än vi, så vi tänker bara se till att vara till så mycket problem som möjligt för dem och inte låta något dem gör, eller några käsnter dem kör från nätverket få vara uppe i mer än ett par timmar, snart nog tröttnar dem

vigge · Inlägg av **vigge** » 04 feb 2005 17:18

Som sagt.. installera om. Du vet att man kan DÖLJA processer? Ojsan då.
Du vet att man kan backdoora både ssh-demonen och ssh-klienten så den tar alla dina lösenord? Ojsan då.

Och kör du Linux 2.4.29-rc2, Linux 2.6.9 eller äldre så bör du absolut genast installera om.

Fast som sagt.. ditt val. Du kanske gillar att folk sitter och leker med dsniff-paketet och tar över dina banksessioner.

cjw · Inlägg av **cjw** » 04 feb 2005 18:02

Som sagt.. installera om. Du vet att man kan DÖLJA processer? Ojsan då.
Du vet att man kan backdoora både ssh-demonen och ssh-klienten så den tar alla dina lösenord? Ojsan då. Smile

Och kör du Linux 2.4.29-rc2, Linux 2.6.9 eller äldre så bör du absolut genast installera om.

Fast som sagt.. ditt val. Du kanske gillar att folk sitter och leker med dsniff-paketet och tar över dina banksessioner.

L337

* suck *

glance · Inlägg av **glance** » 17 mar 2005 23:25

tipps till alla som hittar konstigga processer på sin burk.

det finns två signaler som inte går att blocka och den ena är sigkill som ni säkert vet.

det är den andra som är intressant i dessa sammanhang, sigstop. det innebär att processen slutar göra saker, kan inte städa efter sig eller liknande. sen är det bara att i lugn och ro undersöka vad som hänt.

problem kan uppstå om de är flera och väcker varandra osv....

btg · Inlägg av **btg** » 18 mar 2005 01:30

smart