Witam,
mam ponownie problem z włamem (Slackware 9.0, =
kernel 2.4.20). Mianowicie
wczoraj w godzinach popołudniowych ktoś lub =
raczej coś (chyba na oślep jakiś
cudaczny program do łamania serwerów) =
zniszczyło mi konto root na serwerku.
W /etc/passwd jest takie konto root, nijak nie mogę =
się zalogować ani
lokalnie, ani przez ssh. Po uruchomieniu w trybie =
single, pozwala mi wejść
na konto root po podaniu aktualnego hasła, chcąc =
je zmienić wszystko jest
Ok, ale w normalnym trybie w dalszym ciągu nie =
logach samby często pojawiał się ktoś (lub =
alevrius_. jakiś czas temu pisałem o włamie i =
uszkodzeniu samby. Naprawiłem
to. Wczoraj znalazłem pozmieniane prawa do =
kilkunastu programów (m.in. top,
ifconfig, ps, netstat i inne) pozmieniane było we =
wszystkich tych plikach
owner na 3287, oraz gorup na users, a przecież one =
powinny mieć root i bin.
Niektóre z tych plików miały inną niż =
oryginalnie długość i nie działały jak
należy. Po rozmowie ze znajomymi dowiedziałem =
się, że ostatnio odkryta
została dziura w ssh i pojawiło się mnóstwo =
takich padów serwerów.
Moje pytanie grzmi: Jak odzyskać kontrolę nad =
serwerem? Nie uśmiecha mi się
stawianie, konfigurowanie i tuningowanie wszystkiego =
od nowa. Niestety jak
na razie mam jedynie ten czarny scenariusz, a =
najgorsze jest to, że jestem
na urlopie i chyba mi Sie on skróci :(
Dzięki za pomoc
GrzeZa