linux-l: Hacker
Thomas Bange
bange at uni-paderborn.de
Mo Okt 27 23:33:51 CET 1997
On Thu, 23 Oct 1997, Alexander Geschonneck wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
>
>
> Hi Thomas,
>
> ist das Logfile vollstaendig? Hast Du eine Maillog? Ist wtmp o.k.? =
/var/log/message scheint vollständig. Maillog hab' ich leider nicht mehr.
In wtmp steht nix drin. Der user war zu der Zeit "nicht eingeloggt".
>
> Welche Files wurden in dieser Zeit veraendert? Hattest Du Tripwire instal=
> liert? =
Bis jetzt nicht.
>
> Welche Dienste laufen noch, die Du nicht protokollierst?
Es lief sendmail-8.8.5, telnetd, rshd, idendt, leafnode, httpd
(apache-1.2.4), lpd, rpc.mountd, rpc.nfsd, samba, ssh, hylafax 4.0,
named
>
> Was fuer eine Distribution und auf welchem Versionstand sind Deine =
>
> Libs und Daemons?
>
Das ist eine Redhat 4.0. Die libs und daemonen sind größtenteils original.
>
> Es gibt eine Moeglichkeit, Deine ident-Abfragen zu benutzen. Desweiteren =
>
> ist der in.identd sehr anfaellig fuer DoS, besonders unter Linux. Wenn di=
> e =
>
> Person vorher als normaler Nutzer Zugang zu Deinem System hatte, gibt =
>
> es viele Moeglichkeiten (LD_PRELOAD etc.).
Ja. Es war der standard in.idendt daemon installiert.
>
> Faengst Du mit Deinem Fingerscript alle Traps ab?
Was ?? Das war ein stink normales bash-script das nur einen echo-Befehl
enthielt.
>
> Wie sehen die Mails aus?
So:
From MAILER-DAEMON at voyager.sweet.home Sat Oct 25 22:11:47 1997
Date: Wed, 8 Oct 1997 00:26:15 +0200
From: Mail Delivery Subsystem <MAILER-DAEMON at voyager.sweet.home>
To: root at amelung.ddns.org, postmaster at voyager.sweet.home
Subject: Returned mail: Too many hops 26 (25 max): from <root at amelung.ddns.org> via pbinfo.uni-paderborn.de, to <chris at ascent2-10.uni-paderborn.de>
The original message was received at Wed, 8 Oct 1997 00:25:53 +0200
from pbinfo.uni-paderborn.de [131.234.22.30]
----- The following addresses had permanent fatal errors -----
<chris at ascent2-10.uni-paderborn.de>
----- Transcript of session follows -----
554 Too many hops 26 (25 max): from <root at amelung.ddns.org> via pbinfo.uni-paderborn.de, to <chris at ascent2-10.uni-paderborn.de>
[ Part 2: "Included Message" ]
Reporting-MTA: dns; voyager.sweet.home
Received-From-MTA: DNS; pbinfo.uni-paderborn.de
Arrival-Date: Wed, 8 Oct 1997 00:25:53 +0200
Original-Recipient: rfc822;chris at ascent2-10.uni-paderborn.de
Final-Recipient: RFC822; chris at ascent2-10.uni-paderborn.de
Action: failed
Status: 5.4.6
Last-Attempt-Date: Wed, 8 Oct 1997 00:26:15 +0200
[ Part 3: "Included Message" ]
Date: Wed, 8 Oct 1997 00:03:42 -0100
From: Robin Hood <root at amelung.ddns.org>
To: chris at ascent2-10.uni-paderborn.de
Subject: sdlakfj
sldafk
Das ganze 4 mal mit unterschiedlichem Subject.
>
> Ist der andere Acccount aus Eurem PPP-Pool geknackt?
Es ist kein PPP Zugang geknackt worden. Während ich online war (über
syncPPP) hat einer den Account meines Mitbewohners "benutzt".
>
> Welche Systeme trauen Deinem System und welchen Systeme traust Du? =
>
Hmm. Da habe ich noch nicht soviel konfiguriert. Wo finde ich denn gute
Doku zu tcpd ??
> Hast Du nur IP-Adressen in Files, wie /etc/hosts.allow hosts.equiv =
hostnamen
Ich denke mal der Typ wird irgendeine Lücke im in.telnetd bzw. in.rshd
kennen, denn da stehen ja so komischen Sachen in meinen Log's, mit denen
ich absolut nichts anfangen kann:
From root at voyager.sweet.home Sat Oct 25 22:14:24 1997
Date: Thu, 9 Oct 1997 05:33:00 +0200
From: root <root at voyager.sweet.home>
To: root at voyager.sweet.home
Subject: /var/log/messages
Oct 7 23:38:57 voyager ipppd[16827]: local IP address 131.234.134.141
Oct 7 23:38:57 voyager ipppd[16827]: remote IP address 131.234.134.78
Oct 7 23:45:55 voyager telnetd[30747]: ttloop: peer died: Unknown error
Oct 8 00:00:27 voyager named[207]: No root nameservers for class IN
Oct 8 00:10:24 voyager sshd[220]: log: Generating new 768 bit RSA key.
Oct 8 00:10:27 voyager sshd[220]: log: RSA key generation complete.
Oct 8 00:15:04 voyager inetd[182]: /usr/sbin/in.identd: exit status 0x1
Oct 8 00:21:58 voyager telnetd[30996]: ttloop: peer died: Unknown error
Oct 8 00:36:56 voyager ipppd[16827]: fsm_sdata(LCP): Sent code 9, id 0.
Oct 8 00:37:21 voyager kernel: isdn_net: local hangup ippp0
Was ist ein: ttloop ?? Was ist exit Status 0x1 beim identd ?? Und warum
hatte mein named zu diesem Zeitpunkt keinen root nameserver für IN (die
Meldung kam sonst nie und sonst nie wieder gekommen) ??
/var/log/secure:
Oct 7 23:45:53 voyager in.telnetd[30747]: connect from 131.234.134.1
Oct 7 23:46:21 voyager in.myfingerd[30750]: connect from 131.234.134.1
Oct 8 00:00:12 voyager in.rshd[30794]: connect from 131.234.134.146
Oct 8 00:00:56 voyager in.rshd[30796]: connect from 131.234.134.146
Oct 8 00:21:58 voyager in.telnetd[30996]: connect from 131.234.134.1
Oct 8 00:23:34 voyager in.myfingerd[31005]: connect from 131.234.134.1
Oct 8 21:28:10 voyager leafnode[2787]: connect from 192.168.1.2
Oct 8 22:00:02 voyager in.ntalkd[2927]: connect from 193.22.67.1
Oct 12 15:10:02 voyager leafnode[24047]: connect from 192.168.1.2
Oct 12 15:10:34 voyager leafnode[24048]: connect from 192.168.1.2
Oct 13 21:12:14 voyager ipop3d[1702]: connect from 192.168.1.4
Oct 13 21:37:52 voyager in.telnetd[1940]: connect from 131.234.134.1
Oct 13 21:38:13 voyager in.myfingerd[1943]: connect from 131.234.134.1
Thomas
..................................................................
Software is like sex; it's better when it's free. - Linus Torvalds
There are three kinds of people: men, women, and unix. - Unknown
http://hrz.uni-paderborn.de/~q27093
Mehr Informationen über die Mailingliste linux-l