virus vagy hacktool

Bajan Ferenc bferi at calypso.tbsz.sulinet.hu
2010. Feb. 12., P, 13:37:46 CET


Helló!

A behatoló által felrakott cuccosban LINUX/Rootkit/D, EXP/Spy.233 és
LINUX/Rst.A volt.
Ma éjjel 0:57-től 471 belépési kísérlet történt a szerverre a 
cache.synergy-vs.cz nevű, 90.183.74.1 című gépről, ezenfelül 28 a 
196.41.3.197, 2 a 202.47.224.163, 7 a 208.111.183.202, 2 a 
212.107.158.252 és 1 a 85.18.240.79 című gépekről, összesen 74 
felhasználónevet próbálgatva különböző jelszavakkal.
A tanar felhasználónévvel végül első ízben 00:57-kor sikerült a támadónak 
belépnie a  cache.synergy-vs.cz nevű gépről, majd 1:02-kor, 1:14-kor és 
1:20-kor a host-static-92-115-140-188.moldtelecom.md nevű, 92.115.140.188 
című gépről. A két gépről 48 illetve 25 percet töltöttek a rendszerben, 
ezalatt telepítették fel az 1. pontban említett állományokat.
Ezenkívül a mailx paranccsal küldött egy levelet a rumen0 at yahoo.com címre, 
amelyet az amavis BAD HEADER hibával karanténba rakott. A levél tárgya:
vuln.txt
szövege:
L-amPrins de coada!
Ez ha minden igaz, román nyelvű és kb. annyit tesz: Megfogtam a farkát!
A levél kelte ma éjjel 1:35 volt.

Azt honnan lehet megtudni, milyen processzek nem listázhatók a ps 
paranccsal? Ui. a chkrootkit semmi más hibát nem jelez, csk azt, hogy 2 
processz nem listázható, ill. a 465-ös portot állítja fertőzöttnek, 
amelyen a postfix smtps ül.




--
---------------------------------------------------------------------
                                                          Bajan Ferenc


További információk a(z) Techinfo levelezőlistáról