[linux] Re: gerootkit
Hugo van der Kooij
hvdkooij op vanderkooij.org
Zo Apr 23 11:51:11 CEST 2006
On Sun, 23 Apr 2006, Faust Nijhuis wrote:
> Maar nu heb ik fedora 5 geinstalleerd (eerst de partitie geformateerd)
> en blijkt dat ik na enkele dagen weer gerootkit ben.
> Ik werdt getriggerd door een segmentation fault van commando uname.
> In file /var/log/secure vond ik de volgende regels (het is niet mijn ip
> adres):
> (type het ip adres maar eens in je webbrowser)
> ****************************************************************************
> Apr 16 17:41:21 pluto sshd[8837]: Accepted password for root from
> 192.167.38.1 port 1449 ssh2
> Apr 16 19:41:21 pluto sshd[8836]: Accepted password for root from
> 192.167.38.1 port 1449 ssh2
> *****************************************************************************
1. Hou je je updates bij?
2. Heb je root uitgeschakeld voor SSH login.
3. Heb je SSH geblokkeerd voor netwerken waar je toch niet komt?
(Ik sta alleen SSH toe van thuis, XS4ALL of m'n werkgever.)
4. Heb je een te eenvoudige password in gebruik? Of hetzelfde password op
meerdere plaatsen?
5. Heb je alles dichtstaan wat niet expliciet nodig is? ftp, telnet,
finger, .....
Een rootkit zoeken elke dag is symtoom bestrijding. Begin eens te werken
aan je probleem.
Hugo.
--
I hate duplicates. Just reply to the relevant mailinglist.
hvdkooij op vanderkooij.org http://hvdkooij.xs4all.nl/
Don't meddle in the affairs of magicians,
for they are subtle and quick to anger.
More information about the Linux
mailing list