---

Hej. Har haft en RH5.2 maskine til at stå uden firewall siden
1999. Den har haft imponerende oppetider og har generelt kørt
smertefrit, hvorfor jeg aldrig har opdateret den. Men så en
dag havde ls, ps og netstat skiftet ejer og gruppe. Så jeg går
stærkt ud fra at maskinen er blevet kompromiteret.

Det er også helt fint, har sat en nu og sikker server op nu. Men
jeg vil gerne studere den gamle lidt nøjere, for at se hvad den
er blevet brugt til. Nogen forslag? Noget /proc eller /var/log?
Jeg er ret overbevist om at der er tale om et *tadaa.wav* buffer
overflow exploit mod wu-ftpd - den kørte en tudsegammel beta version.

Morten

---

Morten <morten@kikobu.com> wrote:
> Det er også helt fint, har sat en nu og sikker server op nu. Men
> jeg vil gerne studere den gamle lidt nøjere, for at se hvad den
> er blevet brugt til. Nogen forslag? Noget /proc eller /var/log?

Hvis systemet ikke sendte logfiler til en sikker loghost kan du ikke stole
paa hvad du finder i /var/log. Hvis du ikke har checksums af alle dine
binaries og kernen kan du ikke stole paa noget som helst.

Mange dumme angribere gemmer deres vaerktoejer i /dev fordi "der er saa
mange filer." -- hvis din find kommando virker kan du let finde skumle ting
i /dev:

find /dev -type f

(eller maaske -type file)

Se ogsaa forensics afsnittet i Videre laesning om sikkerhed i OSS'en fra
dk.edb.sikkerhed:

http://a.area51.dk/sikkerhed/videre

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> paa hvad du finder i /var/log. Hvis du ikke har checksums af alle dine
> binaries og kernen kan du ikke stole paa noget som helst.


En "rpm -Va" bør hjælpe på ovenstående, men kun hvis du kan stole på
rpm's database. Har du evt. en backup af denne?

Endvidere bør alt tilgangen til maskinen ske fra en anden kernel, fx
http://trinux.sourceforge.net/