On Tue, Nov 06, 2007 at 02:23:50PM +0200, Sergey A. Gribchenko
Собственно интересная проблема,
вчера "кул хацкеры, поламали один сервер", поставил туда рут кит, как обычно влепили такие версии ps ls netstat top
что они перестали работать, на апач поставили модуль rootme...
запустили irc бот... вообщем все как обычно, если за тазиком не следят или не апдейтят Н-лет...
Но в данном случае - проблем в том, что за ним - следят, стоит gentoo - обновленная максимум 2 недели назад, с тех пор ни в одном из portage - багов не замечено, но факт есть, тазик поламали.
А gentoo никому не обещал накатывать security-патчи быстро. Так что отсутствие обновлений от дистрибутиводелателей - это еще не показатель. Тем более, из этого письма неясно, но на этом сервере точно не было "левого" кода? phpBB какого-нибудь...
Предположительно взлом был через апач, по крайней мере в папке одного из сайтов лежит файлик crack
-rwsr--r-- 1 root apache crack
где crack - обычный bash
Тогда это не "предположительно", это очевидно.
Но опять таки - не ясно как ;(
Понятно все, как и что ставили, как и что ломали, кроме одного, как произошло первое получение +s +root
Смотреть логи апача. Там _будет_ ответ. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message