linux-l: Hacker

Thomas Bange bange at uni-paderborn.de
Mi Okt 22 23:44:43 CEST 1997


Hallo,

als sich heute abend meine Kollege auf unserem Server einloggen wollte
bekam er sinngäß folgende Meldung:

HACKED!!!!!

Naja. Das habe ich mal gesucht folgendes entdeckt: Es hatte jemand eine
.profile angelegt mit einem echo Befehl drin, der das obige ausgibt.
Desweiteren wurde eine .rhosts mit "+ +" angelegt. In den LOG Files habe
ich folgendes gefunden:

Oct  7 23:45:55 voyager telnetd[30747]: ttloop:  peer died: Unknown error 
Oct  8 00:00:27 voyager named[207]: No root nameservers for class IN 
Oct  8 00:10:24 voyager sshd[220]: log: Generating new 768 bit RSA key.
Oct  8 00:10:27 voyager sshd[220]: log: RSA key generation complete.
Oct  8 00:15:04 voyager inetd[182]: /usr/sbin/in.identd: exit status 0x1
Oct  8 00:21:58 voyager telnetd[30996]: ttloop:  peer died: Unknown error 
Oct  8 00:36:56 voyager ipppd[16827]: fsm_sdata(LCP): Sent code 9, id 0.
Oct  8 00:37:21 voyager kernel: isdn_net: local hangup ippp0
Oct  8 00:37:21 voyager kernel: ippp0: Chargesum is 0
Oct  8 00:37:21 voyager ipppd[16827]: Modem hangup
Oct  8 00:37:21 voyager ipppd[16827]: Connection terminated.
Oct  8 00:37:21 voyager ipppd[16827]: taking down PHASE_DEAD link 0, linkunit: 0
Oct  8 00:37:21 voyager ipppd[16827]: ipcp: down
Oct  8 00:37:21 voyager ipppd[16827]: fsm_sdata(LCP): Sent code 5, id 3.
Oct  8 00:37:21 voyager ipppd[16827]: LCP is down
Oct  8 00:37:21 voyager ipppd[16827]: link 0 closed , linkunit: 0
Oct  8 00:37:21 voyager ipppd[16827]: reinit_unit: 0 
Oct  8 00:37:21 voyager ipppd[16827]: Connect[0]: /dev/ippp0, fd: 8

sagt das irgend jemandem was ??? Wie kann da jemand bei mir reingekommen
sein ??

In der /var/log/secure steht folgendes:

Oct  8 00:00:12 voyager in.rshd[30794]: connect from 131.234.134.146
Oct  8 00:00:56 voyager in.rshd[30796]: connect from 131.234.134.146
Oct  8 00:21:58 voyager in.telnetd[30996]: connect from 131.234.134.1
Oct  8 00:23:34 voyager in.myfingerd[31005]: connect from 131.234.134.1

Die IP 131.234.134.146 ist aus dem Pool für die PPP Zugänge der Uni. Die
131.234.134.1 die eines Rechners des HRZ. in.myfingerd ist ein
Shell-Script, das nur eine Zeile Text ausgibt.

Was noch seltsam ist, das zu der Zeit 4 Mails auf dem Rechner angekommen
sind, die einen Maximum HOP count reached oder so ähnlich hatten. Die
Teile konnte ich bissher auch nicht einordnen. Meine sendmail Version ist
8.8.5. Hat die auch noch so viele Sicherheitslöcher ?? Kann er darüber
reingekommen sein ??

Fragen über Fragen.

Auf Antwort hoffend,
Thomas
..................................................................

Software is like sex; it's better when it's free. - Linus Torvalds
 There are three kinds of people: men, women, and unix. - Unknown

               http://hrz.uni-paderborn.de/~q27093





Mehr Informationen über die Mailingliste linux-l