[mdk-re] Re: Меня взломали ?

[Egorov Alexey]

Mikhail Zabaluev wrote:

>Hello Egorov,
>
>On Sun, Mar 24, 2002 at 10:39:51PM +0300, Egorov Alexey wrote:
>
>>Народ, проконсултируйте плиз. Мне пришел лог:
>>
>>Security Warning: the sha1 checksum for one of your SUID files has changed,
>>maybe an intruder modified one of these suid binary in order to put in a 
>>backdoor...
>>- Checksum changed files : /usr/sbin/usernetctl  -- ЧТО ЭТО ЗНАЧИТ ?
>>
>
>Возможно, всё объясняется тем, что вы обновили пакет initscripts.
>Если нет, продолжайте беспокоиться и искать причину...
>
>Что выдаёт "rpm -y initscripts" ?
>
>>В syslog накопал следующее
>>Mar 24 04:02:02 host syslogd 1.4-0: restart.
>>Mar 24 04:08:12 host named[904]: Lame server on 
>>'214.162.220.209.in-addr.arpa' (in '162.220.209.in-addr.arpa'?): 
>>[207.155.183.72].53 'nameserver.concentric.net'
>>
>
>Ух-х, опять этот concentric...
>
Пишет следующее:
SM5...GT c /etc/inittab
S.5....T c /etc/rc.d/rc.local
.M...... c /etc/sysconfig/clock
.M...... c /etc/sysconfig/network
отсутствует /var/run/kernel/_h2ph_pre.ph
отсутствует /var/run/kernel/autoconf.ph
отсутствует /var/run/kernel/modversions.ph
отсутствует /var/run/kernel/version.ph

initscripts действительно обновлял.
И еще такая проблема появилось - apache постоянно падать начал.
Судя по логоам, через  apache пытаются меня взломать и серврер по этому 
падает :(
Логи прилагаются
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : log.zip
Тип     : application/x-zip-compressed
Размер  : 7150 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20020325/32802140/attachment-0002.bin>