Th/CRI - włam... DZIURA? Skąd konto "admin"?

[Jacek Osiecki]

Witam,

Właśnie mi hetzner odciął łączność jednego serwera ze światem... Namierzyli
intensywny atak a mojego serwera na jakieś obce IP.
Wszedłem na serwer przez alternatywne IP i co sie okazuje?
Ktoś był zalogowany na koncie "admin". Odpalony był skrypt który miał za
zadanie wysyłać szalone ilości pakietów na wskazane adresy. Procesy ubiłem,
hasło do konta "admin" zmieniłem.

CO TO ZA KONTO?

Ja go nie zakładałem, a teraz właśnie sprawdziłem że ono
figuruje już w /etc/passwd w zrzucie dysku który był użyty do założenia
systemu na serwerze! Żeby nie było wątpliwości, komputer na którym tworzyłem
bazowy system nawet nie był podłączony do sieci... Podłączyłem dopiero gdy
przerzucałem na swój komputer gotowy obraz tar.gz.

Czy ktoś kto instalował Th z CRI może sprawdzić czy u siebie nie ma
przypadkiem takiego konta w systemie?

Pozdrawiam,
-- 
Jacek Osiecki joshua w ceti.pl GG:3828944
"To nie logika, to polityka"
(c) Kabaret pod Wyrwigroszem 2006