---------- Forwarded message ---------- Date: Wed, 2 Apr 2003 10:27:26 -0300 (BRT) From: Lista Linux - SuperIP <[EMAIL PROTECTED]> To: Daian Conrad <[EMAIL PROTECTED]> Subject: Re: (linux-br) Invasao deixa rastros
Ok vou expecificar: Em uma delas uso CL6.0 Kernel 2.2.17-14cl, wu-ftpd-2.6.1-1cl, apache-1.3.14-6cl e estava abilitado ssl e sendmail-8.11.1-8cl sendo que nesta maquina o pessoal teve acesso a root e colocou varios arquivos e programas para fazer scanners em outras maquinas eu acredito??? Mas como tiveram acesso a root???? Em uma outra uso CL8.0 kernel 2.4.18-2cl, wu-ftpd-2.6.1-4cl, apache-1.3.22-11cl, sendmail-8.9.3-24cl e nesta eles removeram a pagina colocando uma deles proprios e colocaram um sniffer em um diretorio alsantos dentro de /usr/bin/alsantos e ai tem um arquivo executavel chamado sk e um .sniffer onde eh armazenado todos os logins e senhas digitadas fia telnet ftp e ssh. Agora pergunto?? SERA QUE ESTES VAGABUNDOS NAO TEM O QUE FAZER??? PORQUE NAO SE PREOCUPAM EM FAZER COISA UTEIS AOS OUTROS EM VEZ DE FICAR PREJUDICANDO PESSOAS AS QUAIS NAO ESTAO LHES ENCOMODANDO E PROVALVELMENTE NEM AS CONHECEM???? On Tue, 1 Apr 2003, Daian Conrad wrote: > Para poder lhe falar alguma coisa que seja �til , informe qual a distro > dos seus servidores , e qual o pacote que prove o server ftp , > ex.:proftpd**** , wu-ftp**** e etc ... > > >>>>>>>>>>>>>>>>>> Mensagem anterior <<<<<<<<<<<<<<<<<< > > No dia 24/03/03, 20:11:29, Lista Linux - SuperIP <[EMAIL PROTECTED]> > escreveu o seguinte sobre o tema (linux-br) Invasao deixa rastros: > > > > Pessoal boa noite, > > > Este final de semada tive trez maquinas invadidas de formas diferentes: > > > Uma delas hackearam a pagina e alteraram configuracoes de emaisl e > > remopveram todos os logs, a outra adicionaram linhas no rc.system e a > > outra no rc.local, mas em uma delas foi acrescentado os arquivos > > ssh_host_key e sshd_config sendo que esta os links simbolicos ficam com > se > > nao achassem o arquivo que estao apontando e no horario que os arquivos > > foram alterado encontrei nos logs isto: > > > Mar 18 19:42:28 access ftpd[8493]: FTP session closed > > Mar 18 19:45:08 access PAM_pwdb[8504]: password for (news/9) changed by > > ((null)/0) > > Mar 18 19:46:19 access telnetd[8513]: Connect from 200.216.52.6 > > Mar 18 19:46:20 access telnetd[8513]: ttloop: retrying > > > Mar 18 19:46:58 access telnetd[8515]: Connect from 200.216.52.6 > > Mar 18 19:46:59 access telnetd[8515]: ttloop: retrying > > Mar 18 19:46:59 access last message repeated 75 times > > Mar 18 19:49:52 access telnetd[8515]: telnetd: peer died > > Mar 18 19:49:52 access telnetd[8513]: child process 8515 exited: 1 > > > Entao pergunto alguem tem alguma ideia de como estes caras tiveram acesso > > a minha maquina como root para alterar estes arquivos??? > > > Se alguem tiver alguma ideia pode me falar que sera bem vinda. > > > Joares > > > Assinantes em 04/04/2003: 2279 Mensagens recebidas desde 07/01/1999: 206279 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
