[mdk-re] Re: Меня взломали ?
Egorov Alexey
=?iso-8859-1?q?egorov_=CE=C1_strat=2Echtts=2Eru?=
Пн Мар 25 09:26:01 MSK 2002
Mikhail Zabaluev wrote:
>Hello Egorov,
>
>On Sun, Mar 24, 2002 at 10:39:51PM +0300, Egorov Alexey wrote:
>
>>Народ, проконсултируйте плиз. Мне пришел лог:
>>
>>Security Warning: the sha1 checksum for one of your SUID files has changed,
>>maybe an intruder modified one of these suid binary in order to put in a
>>backdoor...
>>- Checksum changed files : /usr/sbin/usernetctl -- ЧТО ЭТО ЗНАЧИТ ?
>>
>
>Возможно, всё объясняется тем, что вы обновили пакет initscripts.
>Если нет, продолжайте беспокоиться и искать причину...
>
>Что выдаёт "rpm -y initscripts" ?
>
>>В syslog накопал следующее
>>Mar 24 04:02:02 host syslogd 1.4-0: restart.
>>Mar 24 04:08:12 host named[904]: Lame server on
>>'214.162.220.209.in-addr.arpa' (in '162.220.209.in-addr.arpa'?):
>>[207.155.183.72].53 'nameserver.concentric.net'
>>
>
>Ух-х, опять этот concentric...
>
Пишет следующее:
SM5...GT c /etc/inittab
S.5....T c /etc/rc.d/rc.local
.M...... c /etc/sysconfig/clock
.M...... c /etc/sysconfig/network
отсутствует /var/run/kernel/_h2ph_pre.ph
отсутствует /var/run/kernel/autoconf.ph
отсутствует /var/run/kernel/modversions.ph
отсутствует /var/run/kernel/version.ph
initscripts действительно обновлял.
И еще такая проблема появилось - apache постоянно падать начал.
Судя по логоам, через apache пытаются меня взломать и серврер по этому
падает :(
Логи прилагаются
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : log.zip
Тип : application/x-zip-compressed
Размер : 7150 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/community/attachments/20020325/32802140/attachment-0002.bin>
Подробная информация о списке рассылки community