Na dik een jaar stabiel draaien: PROBLEMEN 
Ik ben van de week gehacked, mogelijk door een Roemeen
Hij heeft wat dingen zitten uitvreten op mijn linux bakje, en onder andere mijn syslogd service uit de lucht weten te halen. Even voor de duidelijkheid: E-smith 5.5 is een Network optimized distributie gebasseerd op RH7.3. Elke keer als ik opstart krijg ik de melding
De webmanager interface van de server (voor diegene die hier bekend mee zijn) ligt er ook uit. Soms komt hij wel tot het inlogscherm, maar krijg ik bij elke pagina die ik aan klik een "Internal Server Error, contact your sys admin" foutmelding.
SMB draait wel een 'beetje' (ik kan networkdrives mappen vanuit winxp/98) maar ik kan niet in winXp naar \\server gaan (of \\client). In dat geval krijg ik namelijk een "server is not configured for transactions" foutmelding. Zelfde voor Entire Network browsen
Na veel gezoek op het www (mijn linuxkennis is beperkt tot het starten van ntop en smb services
) ben ik er achter gekomen dat het probleem van het niet op willen starten van syslogd veroorzaakt wordt door een foute syntax in de $SYSLOGD_OPTIONS regel in mijn syslog bestand op mijn server. De -a optie slikt ie klablijkelijk niet. Ik weet absoluut niet wat dit doet, en wat wel de goede commandline option is.
momenteel staat er bij mijn $SYSLOGD_OPTIONS in het bestand /etc/sysconfig/syslog
Dat directory achter -a bestaat gewoon, en is leeg op het bestand -null na
Vraag 1: Hoe krijg ik syslogd weer aan de praat?
Vraag 2: Waarom krijg ik een "server is not configured for transactions" foutmelding? En hoe kom ik hier weer vanaf?
Vraag 3: Is er nog ergens een LOG waar ik in kan zien wat hij heeft uit zitten spoken op m'n bak? Of is die er niet om dat syslog eruit ligt?
ps. Ik weet zeker dat ik gehacked ben. Ik kreeg tijdens een putty sessie een heel verhaal voorgeschoteld van hem (middels het write commando ofzo) over waar ie vandaan kwam en dat ie me systeem had verpest. Hij was er ernstig trots op zei hij Intussen alle wachtwoorden veranderd, en alle andere accounts behalve admin en root gedisabled. Het lijkt erop dat hij niet meer binnen is gekomen sindsdien.
*Update*
Over vraag 2.
http://www.experts-exchange.com/Networking/Q_20925285.html (2e antwoord)
Gaat over een IRC virus. En moet je eens zien wat ik krijg als ik service --status-all doe:
Heb ik misschien een linux virus/trojan opgelopen? Zoja, hoe kom ik hier in hemels naam van af? Mijn vermoeden is dat hij *iets* met qmail heeft gedaan.
Ik ben van de week gehacked, mogelijk door een Roemeen
Hij heeft wat dingen zitten uitvreten op mijn linux bakje, en onder andere mijn syslogd service uit de lucht weten te halen. Even voor de duidelijkheid: E-smith 5.5 is een Network optimized distributie gebasseerd op RH7.3. Elke keer als ik opstart krijg ik de meldingcode:
1
2
3
4
5
6
7
8
| [root@###### init.d]# service syslog start
Starting system logger: syslogd: invalid option -- a
usage: syslogd [-drvh] [-l hostlist] [-m markinterval] [-n] [-p path]
[-s domainlist] [-f conffile]
[ FAILED ]
Starting kernel logger: klogd: Already running.
[ FAILED ] |
De webmanager interface van de server (voor diegene die hier bekend mee zijn) ligt er ook uit. Soms komt hij wel tot het inlogscherm, maar krijg ik bij elke pagina die ik aan klik een "Internal Server Error, contact your sys admin" foutmelding.
SMB draait wel een 'beetje' (ik kan networkdrives mappen vanuit winxp/98) maar ik kan niet in winXp naar \\server gaan (of \\client). In dat geval krijg ik namelijk een "server is not configured for transactions" foutmelding. Zelfde voor Entire Network browsen
Na veel gezoek op het www (mijn linuxkennis is beperkt tot het starten van ntop en smb services
) ben ik er achter gekomen dat het probleem van het niet op willen starten van syslogd veroorzaakt wordt door een foute syntax in de $SYSLOGD_OPTIONS regel in mijn syslog bestand op mijn server. De -a optie slikt ie klablijkelijk niet. Ik weet absoluut niet wat dit doet, en wat wel de goede commandline option is. momenteel staat er bij mijn $SYSLOGD_OPTIONS in het bestand /etc/sysconfig/syslog
code:
1
2
3
4
| SYSLOGD_OPTIONS="-m 0" SYSLOGD_OPTIONS="$SYSLOGD_OPTIONS " KLOGD_OPTIONS="-c 1 -2" SYSLOGD_OPTIONS="$SYSLOGD_OPTIONS -a /home/dns/dev/log " |
Dat directory achter -a bestaat gewoon, en is leeg op het bestand -null na
Vraag 1: Hoe krijg ik syslogd weer aan de praat?
Vraag 2: Waarom krijg ik een "server is not configured for transactions" foutmelding? En hoe kom ik hier weer vanaf?
Vraag 3: Is er nog ergens een LOG waar ik in kan zien wat hij heeft uit zitten spoken op m'n bak? Of is die er niet om dat syslog eruit ligt?
ps. Ik weet zeker dat ik gehacked ben. Ik kreeg tijdens een putty sessie een heel verhaal voorgeschoteld van hem (middels het write commando ofzo) over waar ie vandaan kwam en dat ie me systeem had verpest. Hij was er ernstig trots op zei hij
Intussen alle wachtwoorden veranderd, en alle andere accounts behalve admin en root gedisabled. Het lijkt erop dat hij niet meer binnen is gekomen sindsdien.*Update*
Over vraag 2.
http://www.experts-exchange.com/Networking/Q_20925285.html (2e antwoord)
Gaat over een IRC virus. En moet je eens zien wat ik krijg als ik service --status-all doe:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| <blah>
/service/qmail: up (pid 1614) 1120 seconds, normally down
The random data source exists
.-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-.
,----.,----.,-. ,-.,---.,--. ,-.,----.
| O || ,-' \ \/ / | o || \| || ,--'
| _/ _\ \ \ / | o< | |\ || |__
|_| |____/ |__| |___||_| \_| \___|
Version 2.2.1 (c) 1999-2000
the most psychoid
and the cool lam3rz Group IRCnet
`-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=tCl=-'
Configuration File (null) not found, aborting
Run 'make menuconfig' for creating a configuration or create the file manually.
smbd (pid 2441 2018) is running...
nmbd (pid 2024 2023) is running...
/service/smtpfront-qmail: up (pid 1708) 1108 seconds, normally down
squid (pid 1977 1975) is running...
sshd (pid 2159 1734) is running...
syslogd is stopped
<blah> |
Heb ik misschien een linux virus/trojan opgelopen? Zoja, hoe kom ik hier in hemels naam van af? Mijn vermoeden is dat hij *iets* met qmail heeft gedaan.
Specs: Antec Sonata III 500Watt, Asus P5k, C2D E6750 @ 400*8, 2GB DDR6400 OCZ 4-4-4-12, XFX GeForce 8800GTS/640MB (stock), 120GB WD PATA, 320GB Seagate PATA, 750GB WD SATA, IIyama Vision Master Pro 450.
:strip_icc():strip_exif()/u/4444/icoon.jpg?f=community)
/u/18367/pastinakel-64x64.png?f=community)
:strip_icc():strip_exif()/u/13914/avatar.jpg?f=community){kind=avatar}
:strip_icc():strip_exif()/u/22646/crop6531f78f6a5cb_cropped.jpg?f=community)
):strip_exif()/u/71745/knipper.gif?f=community)
:strip_icc():strip_exif()/u/6620/ratatouille_60-60-lq.jpg?f=community)
:strip_icc():strip_exif()/u/2504/crop63f26700ea763_cropped.jpg?f=community)