satt idag (18/10-04)och lekte med polarens irc server,körde nmap mot localhost och fick upp att porten 31337 (!!) var öppen för en tjänst som kallade sig "Elite"
vi tog snabbt reda på vad programmet hette (igenom att nc'a till porten och läsa outputen). programmet hette "psyBNC" och efter ett snabbt "ps ax" hittade vi processens id. /proc/$PID/cwd påvisa att programmet låg i /var/tmp. där i tmp kattalogen låg programmets .tar.gz fil och programmets uppackade mapp.
Någon har tagit sig in, laddat ner och packat upp skiten, och kört igång. hur? vi vet inte riktigt vad vi skall börja leta... servern kör Apache, proftpd, bahamut och sshd.
tack på förhand.
Polaren blev Crackad!
Moderatorer: Nille, nomicon, Minime
-
- Allsmäktig
- Inlägg: 216
- Blev medlem: 10 feb 2004 14:58
- ORT: Linux, Programmering och allmän Hacking. Sedan rundar jag gärna av med en stor kall öl.
Polaren blev Crackad!
It 's the hackers way to do it!
LinuxUserNr: #322211
LinuxUserNr: #322211
-
- Allsmäktig
- Inlägg: 378
- Blev medlem: 28 sep 2003 21:03
- ORT: Falun
-
- Allsmäktig
- Inlägg: 216
- Blev medlem: 10 feb 2004 14:58
- ORT: Linux, Programmering och allmän Hacking. Sedan rundar jag gärna av med en stor kall öl.
vi har hittat vart dem tog sig in tror vi
vi jobbar just nu med brandväggar och andra säkerhets problem. vi har kommit fram till att dem är garanterat bättre på säkerhet än vi, så vi tänker bara se till att vara till så mycket problem som möjligt för dem och inte låta något dem gör, eller några käsnter dem kör från nätverket få vara uppe i mer än ett par timmar, snart nog tröttnar dem
vi jobbar just nu med brandväggar och andra säkerhets problem. vi har kommit fram till att dem är garanterat bättre på säkerhet än vi, så vi tänker bara se till att vara till så mycket problem som möjligt för dem och inte låta något dem gör, eller några käsnter dem kör från nätverket få vara uppe i mer än ett par timmar, snart nog tröttnar dem
It 's the hackers way to do it!
LinuxUserNr: #322211
LinuxUserNr: #322211
-
- Besökare
- Inlägg: 5
- Blev medlem: 04 feb 2005 16:33
Som sagt.. installera om. Du vet att man kan DÖLJA processer? Ojsan då.
Du vet att man kan backdoora både ssh-demonen och ssh-klienten så den tar alla dina lösenord? Ojsan då.
Och kör du Linux 2.4.29-rc2, Linux 2.6.9 eller äldre så bör du absolut genast installera om.
Fast som sagt.. ditt val. Du kanske gillar att folk sitter och leker med dsniff-paketet och tar över dina banksessioner.
Du vet att man kan backdoora både ssh-demonen och ssh-klienten så den tar alla dina lösenord? Ojsan då.
Och kör du Linux 2.4.29-rc2, Linux 2.6.9 eller äldre så bör du absolut genast installera om.
Fast som sagt.. ditt val. Du kanske gillar att folk sitter och leker med dsniff-paketet och tar över dina banksessioner.
-
- Allsmäktig
- Inlägg: 340
- Blev medlem: 19 apr 2004 12:25
L337Som sagt.. installera om. Du vet att man kan DÖLJA processer? Ojsan då.
Du vet att man kan backdoora både ssh-demonen och ssh-klienten så den tar alla dina lösenord? Ojsan då. Smile
Och kör du Linux 2.4.29-rc2, Linux 2.6.9 eller äldre så bör du absolut genast installera om.
Fast som sagt.. ditt val. Du kanske gillar att folk sitter och leker med dsniff-paketet och tar över dina banksessioner.
* suck *
Slackad sedan 3.4 beta
-
- Lärling
- Inlägg: 75
- Blev medlem: 12 okt 2003 23:04
tipps till alla som hittar konstigga processer på sin burk.
det finns två signaler som inte går att blocka och den ena är sigkill som ni säkert vet.
det är den andra som är intressant i dessa sammanhang, sigstop. det innebär att processen slutar göra saker, kan inte städa efter sig eller liknande. sen är det bara att i lugn och ro undersöka vad som hänt.
problem kan uppstå om de är flera och väcker varandra osv....
det finns två signaler som inte går att blocka och den ena är sigkill som ni säkert vet.
det är den andra som är intressant i dessa sammanhang, sigstop. det innebär att processen slutar göra saker, kan inte städa efter sig eller liknande. sen är det bara att i lugn och ro undersöka vad som hänt.
problem kan uppstå om de är flera och väcker varandra osv....