On Tue, 06 Nov 2007, Vladimir Sharun wrote:

Segfault'ы были в логах ? А utmp/wtmp тёрлись ?

Segfault - не было, Nov 5 18:52:26 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' Nov 5 19:21:52 diga syslog-ng[2639]: Error accepting new connection; error='Cannot allocate memory (12)' utmp/wtmp не терлись, а вот логов апача, точнее информации в них - по тому сайту в домике которого лежал файлик - нет, хотя в австате - данные по ним есть, то есть их успешно потерли. Собственно на том сайте, через который предположительно произошло внедрение - дырявый форум, но даже допустим он дырявый, даже допустим у злодея есть шел, как он получил suid? -- GSA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Tue, Nov 06, 2007 at 03:03:18PM +0200, Vladimir A. Podgorny wrote:

On Tue, Nov 06, 2007 at 02:53:45PM +0200, Victor Forsyuk wrote:

...

Смотреть логи апача. Там _будет_ ответ.

...если остались эти самые логи...

Никто не даст гарантии, что они обязательно останутся, но на практике я не встречался со взломами, когда бы чистили или убивали логи. Такие взломы происходят, естественно, не вручную. Сканируются тупо IPшники с известными запросами к URLам дырявых веб-приложений. При попадании машина автоматически заражается. Чистить логи - ручная работа и времязатратно для взломщика, удалять - более заметное действие, которое может вызвать более быстрое обнаружение взлома. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

IMHO це _оперативний_ "джентльменський наб?р" "кул хацкера". Т?па ?нструментар?й. За допомогою котрого дал? можна буде використати даний таз?к для "обычной цели" кул хацкера :)).

-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Michael Petrusha Sent: Wednesday, November 07, 2007 12:58 PM To: Sergey A. Gribchenko Cc: uanog@uanog.kiev.ua Subject: Re: [uanog] похачили тазик... все б ничего

Hi,

...

вчера "кул хацкеры, поламали один сервер", поставил туда рут кит, > как обычно влепили такие версии ps ls netstat top

Извините, что с дурацкими вопросами влажу. Какая "обычная" цель установки этого всего? Спам рассылать?

-- Michael =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Угу. Чей-то не подумалось в этом разрезе... Тормознулнаг :).

-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Sergey Holod Sent: Wednesday, November 07, 2007 5:13 PM To: uanog@uanog.kiev.ua Subject: Re: [uanog] RE: [uanog] похачили тазик... все б ничего

Да не, это как раз что б не было видно того, что будет выполнять задачи хацкера, в списке процессов, открытых портов и т.п. :)

...

IMHO це _оперативний_ "джентльменський наб?р" "кул хацкера". Т?па ?нструментар?й. За допомогою котрого дал? можна буде використати даний таз?к для "обычной цели" кул хацкера :)).

...

-----Original Message----- From: owner-uanog-outgoing@uanog.kiev.ua [mailto:owner-uanog-outgoing@uanog.kiev.ua] On Behalf Of Michael Petrusha Sent: Wednesday, November 07, 2007 12:58 PM To: Sergey A. Gribchenko Cc: uanog@uanog.kiev.ua Subject: Re: [uanog] похачили тазик... все б ничего

Hi,

...

вчера "кул хацкеры, поламали один сервер", поставил туда рут кит, как обычно влепили такие версии ps ls netstat top

Извините, что с дурацкими вопросами влажу. Какая "обычная" цель установки этого всего? Спам рассылать?

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

=================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message