linux-l: Hacker

Thomas Bange bange at uni-paderborn.de
Mo Okt 27 23:33:51 CET 1997


On Thu, 23 Oct 1997, Alexander Geschonneck wrote:
 
> -----BEGIN PGP SIGNED MESSAGE-----
> 
> 
> Hi Thomas,
> 
> ist das Logfile vollstaendig? Hast Du eine Maillog? Ist wtmp o.k.? =
 
/var/log/message scheint vollständig. Maillog hab' ich leider nicht mehr.
In wtmp steht nix drin. Der user war zu der Zeit "nicht eingeloggt".
 
> 
> Welche Files wurden in dieser Zeit veraendert? Hattest Du Tripwire instal=
> liert? =

Bis jetzt nicht.
 
> 
> Welche Dienste laufen noch, die Du nicht protokollierst?
 
Es lief sendmail-8.8.5, telnetd, rshd, idendt, leafnode, httpd
(apache-1.2.4), lpd, rpc.mountd, rpc.nfsd, samba, ssh, hylafax 4.0,
named
 
> 
> Was fuer eine Distribution und auf welchem Versionstand sind Deine =
> 
> Libs und Daemons?
> 
Das ist eine Redhat 4.0. Die libs und daemonen sind größtenteils original.
 
> 
> Es gibt eine Moeglichkeit, Deine ident-Abfragen zu benutzen. Desweiteren =
> 
> ist der in.identd sehr anfaellig fuer DoS, besonders unter Linux. Wenn di=
> e =
> 
> Person vorher als normaler Nutzer Zugang zu Deinem System hatte, gibt =
> 
> es viele Moeglichkeiten (LD_PRELOAD etc.).
 
 Ja. Es war der standard in.idendt daemon installiert.
 
> 
> Faengst Du mit Deinem Fingerscript alle Traps ab?
 
 Was ?? Das war ein stink normales bash-script das nur einen echo-Befehl
 enthielt.
 
> 
> Wie sehen die Mails aus?
 
 So:
 
 
 From MAILER-DAEMON at voyager.sweet.home Sat Oct 25 22:11:47 1997
 Date: Wed, 8 Oct 1997 00:26:15 +0200
 From: Mail Delivery Subsystem <MAILER-DAEMON at voyager.sweet.home>
 To: root at amelung.ddns.org, postmaster at voyager.sweet.home
 Subject: Returned mail: Too many hops 26 (25 max): from <root at amelung.ddns.org> via pbinfo.uni-paderborn.de, to <chris at ascent2-10.uni-paderborn.de>
 
 The original message was received at Wed, 8 Oct 1997 00:25:53 +0200
 from pbinfo.uni-paderborn.de [131.234.22.30]
 
    ----- The following addresses had permanent fatal errors -----
 <chris at ascent2-10.uni-paderborn.de>
 
    ----- Transcript of session follows -----
 554 Too many hops 26 (25 max): from <root at amelung.ddns.org> via pbinfo.uni-paderborn.de, to <chris at ascent2-10.uni-paderborn.de>
 
   [ Part 2: "Included Message" ]
 
 Reporting-MTA: dns; voyager.sweet.home
 Received-From-MTA: DNS; pbinfo.uni-paderborn.de
 Arrival-Date: Wed, 8 Oct 1997 00:25:53 +0200
 
 Original-Recipient: rfc822;chris at ascent2-10.uni-paderborn.de
 Final-Recipient: RFC822; chris at ascent2-10.uni-paderborn.de
 Action: failed
 Status: 5.4.6
 Last-Attempt-Date: Wed, 8 Oct 1997 00:26:15 +0200
 
 
   [ Part 3: "Included Message" ]
 
 Date: Wed, 8 Oct 1997 00:03:42 -0100
 From: Robin Hood <root at amelung.ddns.org>
 To: chris at ascent2-10.uni-paderborn.de
 Subject: sdlakfj
 
 sldafk
 
 
 Das ganze 4 mal mit unterschiedlichem Subject.
 
> 
> Ist der andere Acccount aus Eurem PPP-Pool geknackt?
 
 Es ist kein PPP Zugang geknackt worden. Während ich online war (über
 syncPPP) hat einer den Account meines Mitbewohners "benutzt".
 
> 
> Welche Systeme trauen Deinem System und welchen Systeme traust Du? =
> 
 Hmm. Da habe ich noch nicht soviel konfiguriert. Wo finde ich denn gute
 Doku zu tcpd ??
 
> Hast Du nur IP-Adressen in Files, wie /etc/hosts.allow hosts.equiv =
 
 hostnamen
 
 
 Ich denke mal der Typ wird irgendeine Lücke im in.telnetd bzw. in.rshd
 kennen, denn da stehen ja so komischen Sachen in meinen Log's, mit denen
 ich absolut nichts anfangen kann:
 
 
 From root at voyager.sweet.home Sat Oct 25 22:14:24 1997
 Date: Thu, 9 Oct 1997 05:33:00 +0200
 From: root <root at voyager.sweet.home>
 To: root at voyager.sweet.home
 Subject: /var/log/messages
 
 Oct  7 23:38:57 voyager ipppd[16827]: local  IP address 131.234.134.141
 Oct  7 23:38:57 voyager ipppd[16827]: remote IP address 131.234.134.78
 Oct  7 23:45:55 voyager telnetd[30747]: ttloop:  peer died: Unknown error 
 Oct  8 00:00:27 voyager named[207]: No root nameservers for class IN 
 Oct  8 00:10:24 voyager sshd[220]: log: Generating new 768 bit RSA key.
 Oct  8 00:10:27 voyager sshd[220]: log: RSA key generation complete.
 Oct  8 00:15:04 voyager inetd[182]: /usr/sbin/in.identd: exit status 0x1
 Oct  8 00:21:58 voyager telnetd[30996]: ttloop:  peer died: Unknown error 
 Oct  8 00:36:56 voyager ipppd[16827]: fsm_sdata(LCP): Sent code 9, id 0.
 Oct  8 00:37:21 voyager kernel: isdn_net: local hangup ippp0
 
 Was ist ein: ttloop ?? Was ist exit Status 0x1 beim identd ?? Und warum
 hatte mein named zu diesem Zeitpunkt keinen root nameserver für IN (die
 Meldung kam sonst nie und sonst nie wieder gekommen) ??
 
 /var/log/secure:
 
 Oct  7 23:45:53 voyager in.telnetd[30747]: connect from 131.234.134.1
 Oct  7 23:46:21 voyager in.myfingerd[30750]: connect from 131.234.134.1
 Oct  8 00:00:12 voyager in.rshd[30794]: connect from 131.234.134.146
 Oct  8 00:00:56 voyager in.rshd[30796]: connect from 131.234.134.146
 Oct  8 00:21:58 voyager in.telnetd[30996]: connect from 131.234.134.1
 Oct  8 00:23:34 voyager in.myfingerd[31005]: connect from 131.234.134.1
 Oct  8 21:28:10 voyager leafnode[2787]: connect from 192.168.1.2
 Oct  8 22:00:02 voyager in.ntalkd[2927]: connect from 193.22.67.1
 Oct 12 15:10:02 voyager leafnode[24047]: connect from 192.168.1.2
 Oct 12 15:10:34 voyager leafnode[24048]: connect from 192.168.1.2
 Oct 13 21:12:14 voyager ipop3d[1702]: connect from 192.168.1.4
 Oct 13 21:37:52 voyager in.telnetd[1940]: connect from 131.234.134.1
 Oct 13 21:38:13 voyager in.myfingerd[1943]: connect from 131.234.134.1
 
 
 Thomas
 ..................................................................
 
 Software is like sex; it's better when it's free. - Linus Torvalds
  There are three kinds of people: men, women, and unix. - Unknown
 
                http://hrz.uni-paderborn.de/~q27093





Mehr Informationen über die Mailingliste linux-l