On Tue, 06 Nov 2007, Vladimir Sharun wrote:
Segfault'ы были в логах ? А utmp/wtmp тёрлись ?
Segfault - не было, Nov 5 18:52:26 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' utmp/wtmp не терлись, а вот логов апача, точнее информации в них - по тому сайту в домике которого лежал файлик - нет, хотя в австате - данные по ним есть, то есть их успешно потерли. Собственно на том сайте, через который предположительно произошло внедрение - дырявый форум, но даже допустим он дырявый, даже допустим у злодея есть шел, как он получил suid? -- GSA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message