---

sun solaris 2.6 sparc:

jeg har nogle dir og filer som jeg pludseligt ikke kan se - men de er der.
eks.:
---snip
FINN>>pwd
/ac/KalenderBckUp
FINN>>cd ..
FINN>>ls -al
total 144
drwxrwxrwx 18 root root 1024 Aug 29 10:44 .
drwxr-xr-x 35 root root 1024 Aug 9 11:03 ..
-rw-r--r-- 1 root other 6581 Mar 1 2002 .bash_history
-rw-r--r-- 1 root other 265 Mar 1 2002 .bashrc
drwxrwxr-x 2 finn other 1024 Aug 30 08:26 ACwwwBckUp
drwxr-xr-x 2 finn staff 512 Feb 19 2002 Alchemy
drwxrwxr-x 2 finn staff 512 Apr 14 10:30 BookIT
drwxrwxr-x 2 m505 other 512 Jun 24 01:05 hjemkald.2000
drwxrwxr-x 2 m505 other 1536 Dec 18 2001 hjemkald.2001
drwxrwxr-x 2 finn other 512 Jan 1 2002 SrviceMail
-rw-r--r-- 1 root other 48217 Jan 24 2002 tcp_wrapper.doc
FINN>>pwd
/ac
-----snip

hvordan kan det hænge sammen+ (heller ikke root kan se disse filer/dir, men
kan anvende dem)

finn

--
--- CykelSmeden.... edb på gadeplan

Hvis intet er anført, taler jeg om RH 7.1
og når jeg spørger, er det bare fordi jeg ved for lidt!

---

Det er fordi filerne eller bibliotekerne starter med . du kan se dem
ved at vise skjulte filer bla. i konsole med komandoen ls -a

mvh
Finn

CykelSmeden fra Aalborg wrote:
> sun solaris 2.6 sparc:
>
> jeg har nogle dir og filer som jeg pludseligt ikke kan se - men de er der.

> hvordan kan det hænge sammen+ (heller ikke root kan se disse filer/dir, men
> kan anvende dem)
>
> finn
>
> --
> --- CykelSmeden.... edb på gadeplan
>
> Hvis intet er anført, taler jeg om RH 7.1
> og når jeg spørger, er det bare fordi jeg ved for lidt!
>
>

---

Finn Lavlund wrote:
> Det er fordi filerne eller bibliotekerne starter med . du kan se dem
> ved at vise skjulte filer bla. i konsole med komandoen ls -a
>
undskyld men:
FINN>>ls -al
total 144
drwxrwxrwx 18 root root 1024 Aug 29 10:44 .
drwxr-xr-x 35 root root 1024 Aug 9 11:03 ..
-rw-r--r-- 1 root other 6581 Mar 1 2002 .bash_history
-rw-r--r-- 1 root other 265 Mar 1 2002 .bashrc
osv....

---

Finn Lavlund wrote:
> Det er fordi filerne eller bibliotekerne starter med . du kan se dem
> ved at vise skjulte filer bla. i konsole med komandoen ls -a

når du nærlæser vil du se at eksemplet omhandler et bibliotek som hedder
KalenderBckUp
altså ingen .er


> mvh
> Finn

---

CykelSmeden fra Aalborg wrote:
> sun solaris 2.6 sparc:
> jeg har nogle dir og filer som jeg pludseligt ikke kan se - men de er der.
> eks.:
> ---snip
> FINN>>pwd
> /ac/KalenderBckUp
> FINN>>cd ..
> FINN>>ls -al
> total 144
> drwxrwxrwx 18 root root 1024 Aug 29 10:44 .
> drwxr-xr-x 35 root root 1024 Aug 9 11:03 ..
> -rw-r--r-- 1 root other 6581 Mar 1 2002 .bash_history
> -rw-r--r-- 1 root other 265 Mar 1 2002 .bashrc
> drwxrwxr-x 2 finn other 1024 Aug 30 08:26 ACwwwBckUp
> drwxr-xr-x 2 finn staff 512 Feb 19 2002 Alchemy
> drwxrwxr-x 2 finn staff 512 Apr 14 10:30 BookIT
> drwxrwxr-x 2 m505 other 512 Jun 24 01:05 hjemkald.2000
> drwxrwxr-x 2 m505 other 1536 Dec 18 2001 hjemkald.2001
> drwxrwxr-x 2 finn other 512 Jan 1 2002 SrviceMail
> -rw-r--r-- 1 root other 48217 Jan 24 2002 tcp_wrapper.doc
> FINN>>pwd
> /ac
> -----snip
> hvordan kan det hænge sammen+ (heller ikke root kan se disse filer/dir, men
> kan anvende dem)

Dette kunne været fordi du er blevet hacket, og der er installeret en
ls, der ikke viser nogle bestemte filnavnemønstre. Det er set før at en
hacker skjuler sine filer ved hjælp en "forfalsket" ls.

Sammenlign din ls med en ægte ls.

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

---

Lars Kongshøj <lars_kongshoj@hotmail.com> writes:

> Dette kunne været fordi du er blevet hacket, og der er installeret en
> ls, der ikke viser nogle bestemte filnavnemønstre. Det er set før at en
> hacker skjuler sine filer ved hjælp en "forfalsket" ls.

Jeg ville være bekymret---meget bekymret.

Du kan godt se kataloget med 'echo *', ikke?

--
Peter Makholm | Yes, you can fight it, but in the end the ultimate
peter@makholm.net | goal of life is to have fun
http://hacking.dk | -- Linus Torvalds

---

Peter Makholm wrote:
> Lars Kongshøj <lars_kongshoj@hotmail.com> writes:
>
>> Dette kunne været fordi du er blevet hacket, og der er installeret en
>> ls, der ikke viser nogle bestemte filnavnemønstre. Det er set før at
>> en hacker skjuler sine filer ved hjælp en "forfalsket" ls.
>
> Jeg ville være bekymret---meget bekymret.
>
> Du kan godt se kataloget med 'echo *', ikke?
Jow, og nu fik jeg lært lidt om root-kit, fingerprint, md5 oma.

Hvorfor er der SÅ meget arbejde i at lære?

Jeg har fået en formidabel hjælp på comp.unix.solaris, og problemet er nu
løst med en nyinstall af systemet (payware ;( ).

men tak for din deltagelse

hilsen finn

---

"CykelSmeden fra Aalborg" <outlook@acnord.SLET.dk> writes:

> Jow, og nu fik jeg lært lidt om root-kit, fingerprint, md5 oma.

Fandt du det sikkerhedshul som oprindelig blev brugt til at trænge ind
på maskinen?

> Hvorfor er der SÅ meget arbejde i at lære?

Når det kommer til sikkerhed er jeg bange for at man aldrig bliver
færdig.


--
Peter Makholm | Yes, you can fight it, but in the end the ultimate
peter@makholm.net | goal of life is to have fun
http://hacking.dk | -- Linus Torvalds

---

Peter Makholm wrote:
> "CykelSmeden fra Aalborg" <outlook@acnord.SLET.dk> writes:

> Fandt du det sikkerhedshul som oprindelig blev brugt til at trænge ind
> på maskinen?
>
Nej desværre, men jeg fik assistance af en meget kompetent kollega fra SUN.
Han sørgede for alle opdateringer, hvor jeg var et lille års tid bagud.
Jeg må nok få sat mig ind i metodikken med at tilføre nye patches.

finn

---

CykelSmeden fra Aalborg wrote:
> Peter Makholm wrote:
> > "CykelSmeden fra Aalborg" <outlook@acnord.SLET.dk> writes:
>
> > Fandt du det sikkerhedshul som oprindelig blev brugt til at trænge ind
> > på maskinen?
> >
> Nej desværre, men jeg fik assistance af en meget kompetent kollega fra SUN.
> Han sørgede for alle opdateringer, hvor jeg var et lille års tid bagud.
> Jeg må nok få sat mig ind i metodikken med at tilføre nye patches.

Tag et kig paa de relativt nye signed-patches fra SUN - man kan da
automatisere patchinstallationen - fx via cron.

http://sunsolve.sun.com/patches/spfaq.html

Efter at have hentet og installeret (der er installationsvejledninger):

sudo /usr/j2se/jre/bin/keytool -import -alias smicacert -file \
/etc/certs/SUNW/smicacert.b64 -keystore /usr/j2se/jre/lib/security/cacerts
sudo /usr/j2se/jre/bin/keytool -import -alias smirootcacert -file \
/etc/certs/SUNW/smirootcacert.b64 -keystore /usr/j2se/jre/lib/security/cacerts
sudo /usr/j2se/jre/bin/keytool -storepasswd -keystore \
/usr/j2se/jre/lib/security/cacerts
sudo /usr/j2se/bin/keytool -import -alias patchsigning -file \
/opt/SUNWppro/etc/certs/patchsigningcert.b64 -keystore \
/usr/j2se/jre/lib/security/cacerts
sudo /opt/SUNWppro/bin/pprosetup -u sunsolve-konto-navn
sudo sh -c "echo sunsolve-konto-adgangskode > /opt/SUNWppro/lib/.sunsolvepw"
sudo /opt/SUNWppro/bin/pprosetup -P \
https://emea.patchmanager.sun.com/patchmanager/
sudo /opt/SUNWppro/bin/pprosetup -x http://my.local.proxy:80
sudo /usr/sadm/bin/smpatch update
sudo /usr/sbin/reboot

Ser faktisk snedigt ud.

Vh,

--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic