Problemy z kernelem
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Pią, 11 Gru 1998, 09:46:39 CET
On Fri, 11 Dec 1998, Jacek Smyda wrote:
> [czwartek, 10 grudzień 1998], Konrad Stepien napisał(a):
> >
> > [...]
> > > >
> > > > Na razie zmieniłem ustawienia w pliku httpd.conf na:
> > > > User postgres
> > > >
> > > > Czy jest na to jakiś inny sposób?
> > >
> > > Wiedomo,,że secure-linux wchodzi z kilkoma rzeczami w konflikt. Postgres
> > > jest jedną z takich rzeczy. Zresztą po ostatnich przejściach przestaję
> > > wogóle wierzyć w skuteczność takich rzeczy jak patch Solara.
> > >
> > No, sam solar twierdzi, że to powinien być tylko dodatek, jak każdy
> > tylko zwiększa bezpiekę, ale jej nie gwarantuje.
> > A swoją drogą ten twój przypadek to ciekawy. Widać gość wiedział że
> > masz solara, albo przynajmniej się domyślał. Ja bym się spodziewał
> > raczej jakichś śladów po pierwszej nieudanej próbie i dopiero potem
> > bum. No chyba że logi solara wyciął (miałeś chattr-a i securelevel ?)
> >
>
> Ten gość to ja sam, poprzez wywołany skrypt ze strony WWW.
> Ponadto zauważyłem, że przestał mi chodzić at. Dzisiaj w nocy
> miałem ustawione, aby ściągnął mi kilka wielkich instalek.
> Rano okazało się, że nie został uruchomiony żaden programik
> z kolejki. Po atq jest tak jak wczoraj wieczorem.
U mnie atd z solarem wali wali:
kernel: File owned by <UID>.<GID>
kernel: Possible hard link exploit attempt:
kernel: Process atd (pid <PID>, uid 0, euid 2)..
Jeszcze co do ewentualnego cięcia logów ze śladami odzewu solar patcha to
ich na pewno nie było i to po mimo, że modyfikacja logów była możliwa.
Dlaczego ? Ano dlatego, że kopia logów szła na drugą maszynkę i tam
nie było tych śladów.
Poprostu .. próba łączenia się przez imapa, a po chwili wejście na konto,
którego chwilkę wcześniej na 100% nie było.
Wczoraj zaobserwowałem podobne efekty na dwuch innych maszynkach u
znajomych. W tym w jednym wypadku było to wejście gdzieś z austrii.
Przestaje to wyglądać na charakterystyczną metodę maskowania innego typu
wejścia (tzw. finta w fincie jak mawiają szermierze).
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl