=?iso-8859-1?q?=5Bmdk-re=5D_=F0=CF=D4=C5=CE=C3=C9=C1=CC=D8=CE=C1=D1_=C4?= =?iso-8859-1?q?=D9=D2=C1_=C9=CC=C9_=CE=C5=D4=3F?=

[Roman S]

Доброго дня!

Вчера случилась такая история:
У моих хороших знакомых позавчера уволили сисадмина
(было за что).
Вечером ребята попросили проаудитить, не оставил ли он
за собой каких-либо гадостей... (у них пост. канал в
интернет, многие цепляются к работе из дома).
И подозрения их замучали...

1) Конверт с паролем root-a есс-но не соответствовал...
Загрузился с дистрибутива Spring, поправил LILO,
загрузился в single.

Обнаружил в архиве логов интересную штуку - удалённый
вход через SSH по профилю, который уже был заблокирован!

У профиля в доме валялся SSH-ключик...

Времени особо не было, а учитывая то, что в системе
оказался root-kit, я по-быстрому переставил систему,
перезавёл пользователей, доконфигурил до потребностей....

В связи с тем, что сейчас нет системы для экспериментов
- Вопрос:
Это исходное отверстие в Slackware (вход по SSH
заблокированным пользователем) или "творчество"
администратора?  

Если дыра, то есть ли в Spring?
Если есть, то как бороть?

Rgds!
Roman Savelyev