[ bagz @ 31.08.2002. 18:53 ] @
|
| Linux server mi je zaklacen na mali ISP koji isto radi i firewalling. Sada problem je sledeci on odrzavaju taj mejl server ali dok sam ja radio nesto i pogledao log video sam u logu nesto sto izgleda ovako
rpc.statd[504] %x%x%x%x%x%x%x%x%x%x%x%x.....pa par karaktera pa onda puno /220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220/220...itd
Izgldea mi kao neki lpr ili rpc exploit ili tako nesto. Sad zanima me kako da znam di li mu je poslo za rukom ili ne? Pregledao sam sve drugle logove i ne pokazuju nista sto bi moglo da sugerira da je neko bio na sistemu? Ako neko ima nekih ideja kako da budem siguran da li je napadacu usplelo ili nije bio bih vam zahvalan. |
[ B o j a n @ 01.09.2002. 18:52 ] @
Ako je upadac ikako uspeo da udje, onda mu je pod odmah.) da ocisti tragove. Tako da u principu veliki broj takih upada ostane neprimecwen. Ali inace ta stavka u logu mi vise lici na automatski pipak, worm, ili necije telnet-host-port igrarije ....
[ zgubidan @ 18.09.2002. 14:33 ] @
proveri kritichne binarije na sistemu ..... ps, netstat, ls, du, syslogd, tcpd ... etc ...etc
npr. preko md5, samo nemoj da koristish md5 sa tog sistema vec skini drugi
[ bagz @ 20.09.2002. 12:15 ] @
Prgledao sam sve havala na savetima. Sve je ok. Problem resen.
[ Spunki @ 18.06.2003. 11:42 ] @
Mozes i ovako da skines neki rootkit sa interneta i da ga samo odpakirasi i potrazis u njemu file netstat ps i tako dalje i da napises ./netstat ili ./ps pa da vidis jel se slazu procesi ili da ima nesto cudno...
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.