virus vagy hacktool
Bajan Ferenc
bferi at calypso.tbsz.sulinet.hu
2010. Feb. 12., P, 13:37:46 CET
Helló!
A behatoló által felrakott cuccosban LINUX/Rootkit/D, EXP/Spy.233 és
LINUX/Rst.A volt.
Ma éjjel 0:57-től 471 belépési kísérlet történt a szerverre a
cache.synergy-vs.cz nevű, 90.183.74.1 című gépről, ezenfelül 28 a
196.41.3.197, 2 a 202.47.224.163, 7 a 208.111.183.202, 2 a
212.107.158.252 és 1 a 85.18.240.79 című gépekről, összesen 74
felhasználónevet próbálgatva különböző jelszavakkal.
A tanar felhasználónévvel végül első ízben 00:57-kor sikerült a támadónak
belépnie a cache.synergy-vs.cz nevű gépről, majd 1:02-kor, 1:14-kor és
1:20-kor a host-static-92-115-140-188.moldtelecom.md nevű, 92.115.140.188
című gépről. A két gépről 48 illetve 25 percet töltöttek a rendszerben,
ezalatt telepítették fel az 1. pontban említett állományokat.
Ezenkívül a mailx paranccsal küldött egy levelet a rumen0 at yahoo.com címre,
amelyet az amavis BAD HEADER hibával karanténba rakott. A levél tárgya:
vuln.txt
szövege:
L-amPrins de coada!
Ez ha minden igaz, román nyelvű és kb. annyit tesz: Megfogtam a farkát!
A levél kelte ma éjjel 1:35 volt.
Azt honnan lehet megtudni, milyen processzek nem listázhatók a ps
paranccsal? Ui. a chkrootkit semmi más hibát nem jelez, csk azt, hogy 2
processz nem listázható, ill. a 465-ös portot állítja fertőzöttnek,
amelyen a postfix smtps ül.
--
---------------------------------------------------------------------
Bajan Ferenc
További információk a(z) Techinfo levelezőlistáról