[mdk-re] Re: [mdk-re] Нарвался на хакинг?
Dmitry V. Levin
=?iso-8859-1?q?ldv_=CE=C1_alt-linux=2Eorg?=
Чт Май 10 13:37:00 MSD 2001
On Wed, May 09, 2001 at 03:15:26PM +0400, Oleg N. Kayunov wrote:
> Ночью компьютер стоял на скачивании в dial-up
> Утром прочел во внутренней почте такое сообщение:
> .................................................
> Security Warning: the sha1 checksum for one of your SUID files has
> changed,
> maybe an intruder modified one of these suid binary in order to put in
> a+backdoor...
> - Checksum changed files : /usr/sbin/usernetctl
> .................................................
> Сабж????
> В описании к новой версии ininscripts (я ее установил) говорилось вроде
> об улучшении работы с usb, причем здесь usernetctl?
Файл /usr/sbin/usernetctl входит в пакет initscripts.
При пересборке последнего вполне естественно изменение исполняемых файлов.
> Прочтя такое я вручную (не дожидаясь 4 часов ночи по cron) запустил
> security.sh
> и получил:
> .................................................
> Security Warning: Change in Suid Root files found :
> - Added suid root files : /usr/X11R6/bin/Xwrapper
> - Removed suid root files : /usr/X11R6/bin/Xwrapper
>
> Security Warning: Changes in Suid Group files found :
> - Added suid group files : /usr/X11R6/bin/xhextris
> - Added suid group files : /usr/X11R6/bin/xlogical
> - Removed suid group files : /usr/X11R6/bin/xhextris
> - Removed suid group files : /usr/X11R6/bin/xlogical
>
> Security Warning: Change in World Writeable Files found :
> - Added writables files : /tmp/.ICE-unix
> - Added writables files : /tmp/.X11-unix
> - Added writables files : /tmp/.X11-unix/X0
> - Removed writables files : /tmp/.ICE-unix
> - Removed writables files : /tmp/.X11-unix
> - Removed writables files : /tmp/.X11-unix/X0
>
> Security Warning: the sha1 checksum for one of your SUID files has
> changed,
> maybe an intruder modified one of these suid binary in order to
> put in+a backdoor...
> - Checksum changed files : /usr/X11R6/bin/Xwrapper
> .................................................
> Совсем что-то загадочное $:-b Добавлены и убраны.....
А это похоже на ошибку в security.sh
Попробуйте установить, повторяемая ли она; мне не удалось добиться
подобного эффекта.
> ЗЫ Я тут уже пару раз и по разному (письмом и через web) подписывался на
> security - рассылку и что-то ничего не вижу.
> Она еще не запустилась?
security-announce - это информационная рассылка об исправленных ошибках в
security. Загляните в архив.
Regards,
Dmitry
+-------------------------------------------------------------------------+
Dmitry V. Levin mailto://ldv@alt-linux.org
ALT Linux Team http://www.altlinux.ru/
Fandra Project http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 232 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/community/attachments/20010510/2d60bdd8/attachment-0013.bin>
Подробная информация о списке рассылки community