hacker - oprava
Fikacek Jan
fikacek at pteryx.natur.cuni.cz
Thu Mar 14 20:50:53 CET 1996
Vazeni,
minulou zpravu jsem poslal ve formatu, ktery precte Zmail na SGI, takze
ted tuhle malou chybicku napravuju.
>From komanek at prfdec Fri Feb 9 10:35:38 1996
Received: from prfdec.natur.cuni.cz by pteryx.natur.cuni.cz via SMTP
(940816.SGI.8.6.9/930416.SGI)
for <fikacek at pteryx.natur.cuni.cz> id KAA01552; Fri, 9 Feb 1996
10:35:37 +0100
Received: by prfdec.natur.cuni.cz (5.65/DEC-Ultrix/4.3)
id AA14952; Fri, 9 Feb 1996 10:36:23 GMT
Date: Fri, 9 Feb 1996 10:36:23 GMT
From: komanek at prfdec (David Komanek)
Message-Id: <9602091036.AA14952 at prfdec.natur.cuni.cz>
To: mmokrejs at prfdec
Subject: Zodiax
Cc: fikacek
Status: ORf
kl050-kvd-pc04.pef.zcu.cz sentinel
-rw-r--r-- 1 danek user 62 Jan 26 14:50 .rhosts
-rw-r--r-- 1 jezek user 63 Jan 29 15:34 .rhosts
-rw-r--r-- 1 ruze user 35 Jan 26 14:50 .rhosts
-rw-r--r-- 1 OutOfBox demos 35 Jan 26 14:54 .rhosts
Feb 8 10:58:48 5E:pteryx rshd[14249]: zodiax at prfdec.natur.cuni.cz as
zodiax: un
known login. cmd='-i'
Feb 8 10:58:59 5E:pteryx rshd[14262]: zodiax at prfdec.natur.cuni.cz as
zodiax: un
known login. cmd='csh -i'
Ahoj Martine :-)
udelal jsem par vypisu ze souboru a tak pod. Vezmeme to od konce :
8.2. se zodiax prihlasoval pres sluzbu "remote shell", zda se ze
neuspesne. K tomu, aby se mu to povedlo, by musel lezt na nejakeho
uzivatele, ktery ma vhodne upraveby soubor .rhosts - takze prikladam vypis
lidi, u nichz takovy soubor existuje.
Prvni radek tohoto mailu je obsazen v kazdem ze jmenovanych souboru
.rhosts. Zajimava adresa, ze jo ? Z tehle adresy se k tem 4 lidem lze
logovat, propujcene heslo je 'sentinel' ... :-)
Ostatni uzivatele pteryxe .rhosts nemaji, takze to nevzniklo automaticky.
Login name: ruze In real life: Alice Ruzickova
Directory: /usr/people/ruze Shell: /bin/csh
Last login at Fri Jan 26 14:50 from UNKNOWN at CH-5.natur.cuni.cz
No Plan.
... a tenhle vypis ukazuje, odkud se logoval "kdosi" na ucet Alice
Ruzickove, ktera se na pteryxe zatim jeste niokdy neprihlasovala.
Napadna shoda - zodiax mel ten patek odpoledne HPV v ucebne na chemii.
David
>From root Thu Mar 14 01:38:12 1996
Received: by pteryx.natur.cuni.cz (940816.SGI.8.6.9/930416.SGI)
id BAA01135; Thu, 14 Mar 1996 01:38:12 +0100
From: "root" <root>
Message-Id: <9603140138.ZM1133 at pteryx.natur.cuni.cz>
Date: Thu, 14 Mar 1996 01:38:11 +0100
X-Mailer: Z-Mail (3.2.2 10apr95 MediaMail)
To: root at vivien, root at merlin, root at stargate, root at prfdec, fikacek, mmokrejs
Subject: Prave jsem zrestauroval system na pterdovi ...
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Status: OR
Zdravim vsechny rooty nasi site.
------------------------------------
Prisel jsem dnes ke pteryxovi a nebylo mozne se zalogovat. Takze 'singleuser'
atd. atd., zjistil jsem, ze nelze otevrit etc/passwd, tudiz na stanici nebyl
jediny uzivael, ani root. Musel jsem zabootovat z CD, rucne pripojit systemovy
disk a obnovit passwd (bozinku, diky za to, ze byl zazalohovany ;-))
Pak jsem se probiral SYSLOGEM, proto Vam vlastne pisu :
Obracim se na Vas s prosbou o pomoc - podivejte se do svych SYSLOGu apod, a
pomozte mi, prosim, najit udaje, ktere odpovidaji nasledujicim :
1) 13.brezna (tj. dnes) , 02:43 rano - finger na pteryxe z prfdec-a a kratce
na to i z merlin-u
2) 05:47 rano - finger na pteryxe z vivien-u, "connection timed out"
3) 05:55 rano - anonymni ftp na pteryxe z IP 193.84.54.199 !!! NEEXISTUJICI
adresa, zvlastni je, ze presne tenhle postup pouzival
Nassler
(nikoho neobvinuji ;-)
4) 05:56 rano - telnet z vivienu, IP opet konci cislem 199 !!!
5) 05:56 - :59 rano - anonymni ftp z merlin-u
A ted se drzte :
6) nasledujicich nekolik minut nam "kdosi" nakopiroval do "incomingu" pres ftp
nekolik souboru, pak se objevila chyba, ze system nemuze nalezt /etc/passwd a o
nekolik minut pozdeji zase dotycny z incomingu vsechny sve soubory smazal.
Od te doby se uz nikdo nezalogoval.
--
Jan Fikacek
fikacek at prfdec.natur.cuni.cz
.. at pteryx....
http://pteryx.natur.cuni.cz/~fikacek
More information about the net
mailing list