OT: dziwny plik, moze włam :), a moze i nie

Tomasz Witek tiwek w manta.univ.gda.pl
Pon, 12 Sty 2004, 18:31:12 CET


W liście z pon, 12-01-2004, godz. 17:34, Tomasz Buziak [uho] pisze: 
> elou,
> wiem ze to moze lamerski post, ale moze sie ktos z tym spotkal
> 
> na serwie byl odpalony serwer q3 i cs, jajo 2.4.20-9,
> pewnego razu w /tmp znalazlem tajemniczy plik o nazwie k (ma juz dwa tygodnie)
> :) no i nie wiem z kad sie tam wziol :)
> proces tego programu wisial w pamieci i widac ze byl odpalony przez skrypt
> shelowy z prawami usera na ktorym odpalony byl serwer q3,cs i nasluchiwal na
> portach 27011 i jakims udp, cholera nie probowalem sie dobic na ten port, od
> razu zabilem procesa.
> 
> w logach nie znalazlem dziwnych logowan (nie mam kont shellowych) lub zachowan
> systemu, chyba sie nic takiego nie stalo, bo proces chodzil na prawach serwera
> q3 przez ktory prawdopodobnie sie tam znalazl.
> 
> chkrootkit nic nie wykazal, chyba system nie zostal zkazony ! narazie dziala 
> 

To hatorihanzo, expoloit na do_brk, blad w kernelu.

TiweK


-- 
Tomasz Witek <tiwek w manta.univ.gda.pl>



Więcej informacji o liście dyskusyjnej pld-users-pl