Re: [Forum] hacked - og hva så?

From: Claus Ladekjær Wilson <clw@get2net.dk>
Date: Tue Mar 19 2002 - 01:20:45 CET

Når jeg gennemser min maskine, støder jeg på følgende mærkværdigheder: (Er
det helt normalt eller unormalt?)

Fra /dev
findes /dev/shm som er et tomt katalog
og en sjov en
/dev/logicalco med to underbiblioteker, som hver indeholder et 0-device
i /dev/pts er et 0- og et 1-device
Og /proc/self/fd gik pludselig amok og lavede en række devices med
lrwx------ tilladelser.
nemlig følgende
 0 -> /dev/pts/1
lrwx------ 1 claus claus 64 mar 19 01:10 1 -> /dev/pts/1
lrwx------ 1 claus claus 64 mar 19 01:10 2 -> /dev/pts/1
lrwx------ 1 claus claus 64 mar 19 01:10 255 -> /dev/pts/1

Desuden disse lidt sjove §hide§ kommandoer fra sysloggen: (Hvor normale er
de?)

t 21 00:21:33 localhost rc.sysinit: §hide§
Oct 21 00:21:34 localhost last message repeated 3 times
Oct 21 00:21:34 localhost rc.sysinit: §hide§ §hide§ Finding module
dependencies: §end§ Finding module dependencies: §end§ §hide§ Finding module
dependencies: §end§ Finding module dependencies: succeeded
Oct 21 00:21:34 localhost : Loading module: scsi_hostadapter
okt 21 00:21:36 localhost rc.sysinit: §hide§ §hide§ Mounting local
filesystems: §end§ Mounting local filesystems: §end§ §hide§ Mounting local
filesystems: §end§ Mounting local filesystems: succeeded
okt 21 00:21:37 localhost rc.sysinit: §hide§ §hide§ Mounting loopback
filesystems: §end§ Monterer loopback-filsystemer: §end§ §hide§ Mounting
loopback filesystems: §end§ Monterer loopback-filsystemer: succeeded
Oct 21 00:21:37 localhost devfsd[74]: Caught SIGHUP <30>Oct 21 00:21:37
devfsd[74]: read config file: "/etc/devfsd.conf"
okt 21 00:21:37 localhost rc.sysinit: §hide§ §hide§ Running devfsd actions:
§end§ Running devfsd actions: §end§ §hide§ Running devfsd actions: §end§
Running devfsd actions: succeeded

*************************************************************************************

mandag den 18. marts 2002 09:42 skrev du:
> Jeg var væk fra maskinen i 2 minutter igår, og da jeg kom tilbage var
> maskinen ved at reboote. Det sker vel normalt ikke af sig selv.
> Jeg har nu sat sikkerheden i vejret med en firewall og ændret på nogle
> tilladelser.
> Er der nogen steder ud over /var/log/messages, hvor jeg kan lede efter tegn
> på fremmed indtrængen?

-- 
Hilsen / Greetings
Claus Ladekjær Wilson
Kirkedammen 19, 2.th
8000 Århus C
tlf. 86112234
mail: clw@get2net.dk
***running Linux Mandrake 8.1 kernel 2.4.18
Received on Tue Mar 19 10:52:25 2002

This archive was generated by hypermail 2.1.8 : Tue Jul 19 2005 - 16:03:30 CEST