Доброго времени суток!
Есть пара вопросов по security, но для начала лирическое отступление...
Mar 15 20:20:53 baraknet xinetd[701]: START: telnet pid=1191 from=192.168.0.131
Mar 15 20:21:55 baraknet xinetd[701]: START: ftp pid=1296 from=210.187.240.8
Mar 15 20:22:01 baraknet xinetd[701]: START: ftp pid=1297 from=210.187.240.8
Mar 15 20:22:01 baraknet xinetd[1296]: USERID: ftp UNIX : root
Mar 15 20:22:04 baraknet xinetd[1297]: USERID: ftp UNIX : root
Mar 15 20:22:05 baraknet xinetd[701]: EXIT: ftp pid=1296 duration=10(sec)
Mar 15 20:22:09 baraknet xinetd[701]: EXIT: ftp pid=1297 duration=8(sec)
Mar 15 20:23:50 baraknet xinetd[701]: START: ftp pid=1301 from=210.187.240.8
Mar 15 20:23:52 baraknet xinetd[1301]: USERID: ftp UNIX : root
Mar 15 20:24:28 baraknet xinetd[701]: EXIT: ftp pid=1301 duration=38(sec)
Mar 15 20:24:40 baraknet xinetd[701]: START: ftp pid=1303 from=210.187.240.8
Mar 15 20:24:41 baraknet xinetd[1303]: USERID: ftp UNIX : root
Mar 15 20:29:56 baraknet xinetd[701]: START: telnet pid=1328 from=210.187.240.8
Mar 15 20:30:45 baraknet xinetd[701]: START: telnet pid=1346 from=127.0.0.1
Mar 15 20:31:59 baraknet xinetd[701]: START: telnet pid=1355 from=210.187.240.8
Mar 15 20:35:58 baraknet adduser[1412]: new group: name=pixel1, gid=503
Mar 15 20:35:58 baraknet adduser[1412]: new user: name=pixel1, uid=503, gid=503, home=/home/pixel1, shell=/bin/bash
Mar 15 20:48:43 baraknet usermod[1581]: change user `rpm' GID from `37' to `37'
Mar 15 20:48:43 baraknet usermod[1581]: change user `rpm' shell from `/bin/bash' to `/bin/bash'
Mar 15 20:48:43 baraknet usermod[1581]: change user `rpm' expiration from `-1' to `11760'
Mar 15 20:48:43 baraknet chage[1583]: changed password expiry for rpm
В 20:50 процесс юзера pixel1 был убит, ftp закрыт. Обнаружил я его случайно, IP 192.168.0.131 мой. За две минуты этот товарищ упел сделать следующее:
uname -a
uptime
w
cat /etc/hosts
uname -a;id
uname -a;id;uptime
ls
ps uax
/etc/rc.d/init/httpd status
/etc/rc.d/init.d/httpd status
/sbin/ifconfig
cat /etc/ppp/pap-secrets
Насколько я понимаю, использовался эксплойт для ftp. Вопросы следующие: где брать описания багов системы RedHat Linux, где брать патчи против багов соответственно... Поделитесь адресами сайтов и рассылок если не жалко...
P.S
Linux RedHat 7.2.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.