LINUX.ORG.RU
ФорумAdmin

Sudo -взлом


0

0

копался недавно в логах и увидел- Sep 13 21:31:02 server1 sudo(pam_unix)[25995]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=named

вижу что ктото пытается заплюнутся в Sudo я так понимаю от юзера named или єто вводит юзера named?

Подскажите в каких логах посмотреть откудого біло обращение к судо в смысле от какого пользователя, и попутно в каких логах глянуть кто логинился в шелл.. Спасибо...

anonymous
как в RHEL3 собрать glibc с nptl?
Raid Network

и еще вопросик, нашел странный процесс - sh -c ps --cols 500 -eo user,ruser,group,rgroup,pid,ppid,pgid,pcpu,vsz,nice,etim... может ето и есть взлом?...

anonymous
()
Ответ на: комментарий от anonymous

А чем Вы его нашли, этот процесс? Есть шанс, что это хитрый алиас и ps (или гуй к нему) себя же и отобразил.

lodin ★★★★
()
Ответ на: комментарий от Rain

Ребята подскажите как вычилсить кто пхнется в Sudo где глянуть с какого UID идет запрос на Sudo. user=named это я так понимаю идет запрос на юзера=named , причем єти мессаги через каждіе 2 сек похоже что ктото бурфорсит....

anonymous
()
Ответ на: комментарий от anonymous

Смотрел в своих логах вчера (сделал судо от тестового юзверя, к-рому низзя). Нет, это юзер named брутфорсит, а скорее всего это глупый троянец, который считает, что судо беспарольное. Т.к. пароля у named не должно быть по умолчанию. (потому failed).

Кстати, а какие эксплойты на эту тему могли быть за последнее время?

Вероятно, стОит перегрузить машину с прибитым named. Если проблема исчезла, вам повезло -- шелла у предполагаемого злодея (вероятно) пока (пока!!) нет.

ЗЫ Пусть меня лучше гуру поправят, ибо я сам в этом разбираюсь постольку поскольку, ламер короче.

lodin ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
как в RHEL3 собрать glibc с nptl?
Admin
Raid Network