|
|
 | Har jeg haft indbrud?
Fra : J. A. Langdorf-Jørge~ |
Dato : 24-09-01 22:07 |
|
Tidligere på aftenen kørte jeg en rutinemæssig portscan mod min egen box
og fik blandt andet at vide, at servicen "sometimes-rpc13" kørte.
Efterfølgende scans viser _ikke_ denne service.
Der burde ikke køre nogen rpc-ting _overhovedet_.
Jeg fandt en enkelt interessant linie i /var/log/warn:
"Sep 24 19:34:06 ip168 scanlogd: 1.2.3.4 to 5.6.7.8 \
and others, ports 80, 4701, 4710, 4717, 4728, ..., ??r??uxy, \
TOS 00, TTL"
- hvor 1.2.3.4 er min box og 5.6.7.8 holder til ude på Inder-Nettet.
Jeg har ikke scannet den anden maskine, og der er ikke andre end mig,
der legitimt benytter denne maskine.
OS er SuSE 7.2/Linux 2.4.4.
Lugter ovenstående af ubudne gæster, eller er jeg blot passende
paranoid? Hvad er geniernes mening?
TIA/hilleroed
--
"This person has performed an illegal operation
and has been shut down" - Bill Gates' tombstone
| |
 Peter Dalgaard BSA (24-09-2001)
| Kommentar
Fra : Peter Dalgaard BSA |
Dato : 24-09-01 22:18 |
|
J. A. Langdorf-Jørgensen <jorge@langdorf.com> writes:
> Tidligere på aftenen kørte jeg en rutinemæssig portscan mod min egen box
> og fik blandt andet at vide, at servicen "sometimes-rpc13" kørte.
>
> Efterfølgende scans viser _ikke_ denne service.
>
> Der burde ikke køre nogen rpc-ting _overhovedet_.
>
> Jeg fandt en enkelt interessant linie i /var/log/warn:
>
> "Sep 24 19:34:06 ip168 scanlogd: 1.2.3.4 to 5.6.7.8 \
> and others, ports 80, 4701, 4710, 4717, 4728, ..., ??r??uxy, \
> TOS 00, TTL"
>
> - hvor 1.2.3.4 er min box og 5.6.7.8 holder til ude på Inder-Nettet.
>
> Jeg har ikke scannet den anden maskine, og der er ikke andre end mig,
> der legitimt benytter denne maskine.
>
> OS er SuSE 7.2/Linux 2.4.4.
>
> Lugter ovenstående af ubudne gæster, eller er jeg blot passende
> paranoid? Hvad er geniernes mening?
Hvad siger "rpm -Vf /bin/ls" og ditto med /bin/ps? Hvis du er rigtig
paranoid så prøver du "rpm -Va" og kigger output igennem. Bemærk at
*nogle* filer godt må være ændrede.
--
O__ ---- Peter Dalgaard Blegdamsvej 3
c/ /'_ --- Dept. of Biostatistics 2200 Cph. N
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907
| |
J. A. Langdorf-Jørge~ (25-09-2001)
| Kommentar
Fra : J. A. Langdorf-Jørge~ |
Dato : 25-09-01 14:51 |
|
Peter Dalgaard BSA wrote:
> Hvad siger "rpm -Vf /bin/ls" og ditto med /bin/ps? Hvis du er rigtig
> paranoid så prøver du "rpm -Va" og kigger output igennem. Bemærk at
> *nogle* filer godt må være ændrede.
Tak for input.
Der er ikke noget virkeligt spændende at hente med rpm -Va; i hvert fald
ikke noget der skræmmer mig, når jeg først får renset output for filer,
som jeg selv eller SuSE's config-ting jævnligt piller ved.
Jeg er ikke ligefrem fuld af idéer om hvor jeg skal gå hen herfra, så
forslag modtages med glæde.
TIA/hilleroed
--
"This person has performed an illegal operation
and has been shut down" - Bill Gates' tombstone
| |
 Alex Holst (25-09-2001)
| Kommentar
Fra : Alex Holst |
Dato : 25-09-01 17:22 |
| | |
|
|