Toon posts:

Vreemde logins, en niet alleen bij mij..

Pagina: 1
Acties:

donderdag 22 november 2001 23:20

Acties:

Verwijderd

Topicstarter
Hoi,

Op mijn (net geinstalleerde) server, thuis, dus niet erg bekend, staat een login van oyster.vuurwerk.nl. Maar nu het rare; nu hoor ik net van WilcoRadio via ICQ dat 'r bij hem ook rare logins warne, van diezelfde host, en ook op zijn werk logins.

Hebben meer dit? En weet iemand wie of wat dit is en wat het moet?

donderdag 22 november 2001 23:30

Acties:
  • Kettrick
  • Registratie: Augustus 2000
  • Laatst online: 01:20

Kettrick

Rantmeister!

kick ban >:)

Wat voor logins, root shells :?

donderdag 22 november 2001 23:31

Acties:
  • jep
  • Registratie: November 2000
  • Laatst online: 05-05 11:28

jep

Een login is dat ze ook ingelogged zijn right? :)

Poging tot inloggen kan door meer dingen komen, bijvoorbeeld het connecten op IRC (undernet/efnet ?) of dat soort dingen. Socks scanners enzo :)

donderdag 22 november 2001 23:33

Acties:
  • Coen Rosdorff
  • Registratie: Januari 2000
  • Niet online

Coen Rosdorff

Er zijn een aantal attacks aan de gang mbv recent ontdekte ssh exploits. Zie de bekende sites voor info.

donderdag 22 november 2001 23:38

Acties:

Verwijderd

via root ingelogd ja... ze hebben bestanden bekeken.. niks gesloopt ofzo.. echt vaag

donderdag 22 november 2001 23:42

Acties:
  • Kettrick
  • Registratie: Augustus 2000
  • Laatst online: 01:20

Kettrick

Rantmeister!

Ik hoorde vage verhalen over MS-SQL server sploits die ook op MySQL werken :? :? (ging er bij mij niet echt in)

hebben jullie MySQL open staan voor inet ? (poort 3306 dus )

donderdag 22 november 2001 23:43

Acties:

Verwijderd

Op donderdag 22 november 2001 23:42 schreef RoeLz het volgende:
Ik hoorde vage verhalen over MS-SQL server sploits die ook op MySQL werken :? :? (ging er bij mij niet echt in)

hebben jullie MySQL open staan voor inet ? (poort 3306 dus )
ja

vrijdag 23 november 2001 00:15

Acties:

Verwijderd

Op donderdag 22 november 2001 23:20 schreef [nielsonline] het volgende:
oyster.vuurwerk.nl
Is de telnet server van vuurwerk, iedere aap die daar een hosting account op heeft kan daar volgens mij op inloggen.

Dus ff tijd van het inloggen melden bij vuurwerk en abuse melding doen.

vrijdag 23 november 2001 00:16

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 21:45

Mark

Op donderdag 22 november 2001 23:43 schreef WilcoRADIO het volgende:

[..]

ja
Mag hopen dat je niet zo stom bent om MySQL als root te draaien ???

vrijdag 23 november 2001 00:34

Acties:
  • Kettrick
  • Registratie: Augustus 2000
  • Laatst online: 01:20

Kettrick

Rantmeister!

* Kettrick heeft al zo'n vermoeden waar die root shells vandaan komen ;)

Maar ik kan me niet voorstellen dat dat met die MS-SQL sploits te maken heeft :?

Iemand daar meer info over ?

vrijdag 23 november 2001 00:38

Acties:

Verwijderd

Voor ssh kun je het ssh1 protocol uitschakelen. In Linux vind je in sshd_config een optie protocol 2,1. Dat moet worden protocol 2. Even je sshd herstarten en ssh1 is niet meer actief.
[edit] ms-sql info op http://nu.nl/document?n=47605

vrijdag 23 november 2001 00:41

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 21:45

Mark

Op vrijdag 23 november 2001 00:38 schreef janjanjansen het volgende:
Voor ssh kun je het ssh1 protocol uitschakelen.
Kun je ??? Dat hadden ze ongeveer een maand of 4-5 geleden al moeten doen. De SSH1 exploit stamt af van medio juni als ik het goed herriner...

vrijdag 23 november 2001 00:44

Acties:

Verwijderd

Ja en er zijn geloof ik meerdere exploits voor. Maar bijvoorbeeld in Slackware 8.0 staat ssh1 default aan.

vrijdag 23 november 2001 00:51

Acties:

Verwijderd

Topicstarter
Ik heb deze server een paar dagen geleden geinstalleerd dus een paar dingen waren nog niet gedaan.. o.a. mysql op een eigen user zetten, SSH op 1 en chmod 755 /usr/bin/suidperl

Is nu wel gebeurd :)
code:
1
2
3
4
5
6
7
8
9

niels    pts/1    oyster.vuurwerk. Thu Nov 22 01:59 - 01:59  (00:00)    
ftp ftpd1179     pD953399C.dip.t- Thu Nov 22 01:14 - 01:14  (00:00)    
niels    pts/1    oyster.vuurwerk. Thu Nov 22 01:04 - 01:59  (00:55)

------

login: niels
Password:
Last login: Thu Nov 22 01:59:57 from oyster.vuurwerk.nl

vrijdag 23 november 2001 00:51

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 21:45

Mark

Op vrijdag 23 november 2001 00:44 schreef janjanjansen het volgende:
Ja en er zijn geloof ik meerdere exploits voor. Maar bijvoorbeeld in Slackware 8.0 staat ssh1 default aan.
Jammer genoeg wel ja. Verder zou ik er ook voor kiezen om te werken met AllowGroups (of AllowUsers) om ze maar echt een gelimiteerd aantal mensen access te geven op je machine.

Ben je echt paranoia dan ga je werken met authorized keys en weer je iedereen die niet een key van je heeft gekregen.

vrijdag 23 november 2001 00:53

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 21:45

Mark

Op vrijdag 23 november 2001 00:51 schreef [nielsonline] het volgende:
Ik heb deze server een paar dagen geleden geinstalleerd dus een paar dingen waren nog niet gedaan.. o.a. mysql op een eigen user zetten, SSH op 1 en chmod 755 /usr/bin/suidperl

Is nu wel gebeurd :)
code:
1
2
3

niels    pts/1    oyster.vuurwerk. Thu Nov 22 01:59 - 01:59  (00:00)    
ftp ftpd1179     pD953399C.dip.t- Thu Nov 22 01:14 - 01:14  (00:00)    
niels    pts/1    oyster.vuurwerk. Thu Nov 22 01:04 - 01:59  (00:55)
Kan dus wel te laat zijn. In 55 minuten staan er voldoende backdoors/rootkits op je box...

vrijdag 23 november 2001 00:58

Acties:

Verwijderd

Topicstarter
Op vrijdag 23 november 2001 00:53 schreef RedRoon het volgende:

[..]

Kan dus wel te laat zijn. In 55 minuten staan er voldoende backdoors/rootkits op je box...
Hoe kan ik ze vinden?

Ik heb trouwens al passwords veranderd en portsentry draaien..

vrijdag 23 november 2001 01:01

Acties:

Verwijderd

Topicstarter
in .bash_history staan trouwens commando's die ik zelf nooit ingetikt heb..
maar niets bijzonders is dat, alleen wat ls / cd / who / mc's

vrijdag 23 november 2001 01:10

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 21:45

Mark

Op vrijdag 23 november 2001 00:58 schreef [nielsonline] het volgende:

[..]

Hoe kan ik ze vinden?

Ik heb trouwens al passwords veranderd en portsentry draaien..
Tsja, als je zeker wilt zijn zou ik herinstalleren. Er kan een daemon op staan met een backdoor. Je hebt niet toevallig tripwire draaien zodat je de checksums van alle files kunt vergelijken ?
Begin sowieso eens met http://www.chkrootkit.org/
Op vrijdag 23 november 2001 01:01 schreef [nielsonline] het volgende:
in .bash_history staan trouwens commando's die ik zelf nooit ingetikt heb..
maar niets bijzonders is dat, alleen wat ls / cd / who / mc's
En dat zijn de eerste zaken die ze netjes leeg poetsen (net als logfiles e.d.)

vrijdag 23 november 2001 01:16

Acties:

Verwijderd

Topicstarter
Op vrijdag 23 november 2001 01:10 schreef RedRoon het volgende:

[..]

Tsja, als je zeker wilt zijn zou ik herinstalleren. Er kan een daemon op staan met een backdoor. Je hebt niet toevallig tripwire draaien zodat je de checksums van alle files kunt vergelijken ?
Begin sowieso eens met http://www.chkrootkit.org/
[..]

En dat zijn de eerste zaken die ze netjes leeg poetsen (net als logfiles e.d.)
Dus een nep 'hacker'? >:)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81

[root@home chkrootkit-0.34]# ./chkrootkit 
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not infected
Checking `identd'... not infected
Checking `killall'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not infected
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not found
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while... 
/usr/lib/perl5/5.00503/i386-linux/.packlist /usr/lib/perl5/site_perl/5.005/i386-linux/auto/MD5/.packlist /usr/lib/perl5/site_perl/5.005/i386-linux/auto/mod_perl/.packlist /usr/lib/linuxconf/install/gnome/.directory /usr/lib/linuxconf/install/gnome/.order /lib/modules/2.2.14-5.0/.rhkmvtag

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... 
eth0 is not promisc
eth1 is not promisc
Checking `wted'... nothing deleted
Checking `z2'... 
nothing deleted

Nou dan maak ik me geen zorgen :)

vrijdag 23 november 2001 01:35

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 21:45

Mark

Op vrijdag 23 november 2001 01:16 schreef [nielsonline] het volgende:

[..]

Dus een nep 'hacker'? >:)
Tsja, of iemand die juist wil dat jij dit denkt en stiekem je inetd (of xinetd) heeft vervangen door een versie met een zelf gemaakte backdoor....

Je moet het zelf weten, maar de enigste zekerheid is een verse installatie.

vrijdag 23 november 2001 01:39

Acties:

Verwijderd

Topicstarter
Hmmmmm nou ff een nachtje over slapen dan maar :P

zaterdag 24 november 2001 20:17

Acties:
  • McMiGHtY
  • Registratie: December 1999
  • Laatst online: 19:33

McMiGHtY

- burp -

Wat dacht je van voor de zekerheid gewoon een reinstall.
En de tips die hiero genoemd zijn even te doen

NEW - Het Grote - 2026 Tweakers Social Ride- Topic!

zondag 25 november 2001 20:15

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 20-04 22:06

igmar

ISO20022

Maar ik kan me niet voorstellen dat dat met die MS-SQL sploits te maken heeft :?

Iemand daar meer info over ?
Dat van MS-SQL is geen exploit, maar gewoon een admin account zonder passwd. Dat geld natuurlijk ook voor MySQL.
Pagina: 1
Reageer