Re: hack linux 5.1

To: Arquimedes <maquibog en df1 telmex net mx>
Subject: Re: hack linux 5.1
From: mahernan en dns digital-server com
Date: Thu, 8 Apr 1999 09:54:18 -0500 (CDT)
Cc: linux-ayuda en nuclecu unam mx
In-reply-to: <370BC21C.D65221BA@df1.telmex.net.mx>
Sender: owner-linux-ayuda en nuclecu unam mx

Arquimedes:

Este tipo de asuntos son muy delicados, ya que te pudo haber pasado algo
bastante fuerte.
Para arreglarlo, promero actualiza tu version de 5.1 a 5.2 con todos sus
updates, el mensaje de NFS unautorized acces se debio a que tienes
seguramente el rpc.mountd o el nfs o nfsfs activado, para desactivar el
nfs o nfsfs vete a una ventana siendo root y ponle el comando ntsysv, y te
mostrara los servicios que tienes activados, desactiva el nfs y nfsfs.
para chechar que rpc's estan corriendo escribe el comando rpcinfo -p
localhost, y te mostrara todos los procesos que remotamente estan
activados en tu maquina, leete la documentacion de como desactivarlos.
Este exploit es muy conocido entre los hackers.

Ahora, el caso de que te pusieron una linea en tu passwd se debio a que
tienes el imapd activado edita el archivo /etc/inetd.conf y busca imapd y
ponle un "#" al principio de la linea.

# imapd	stream tcp	nowait	root	/usr/bin/tcp	imapd

y no olvides de editar tu archivo /etc/hosts.deny y /etc/hosts.allow para
poder restringir las entradas de tu archivo.

Sientete libre, usa linux!!!!!!!
Marco Antonio Hernandez Cisneros
e-mail: mahernan en digital-server com

On Wed, 7 Apr 1999, Arquimedes wrote:

> > lista que tal
> >
> > en verdad estoy preocupado
> > ayer durante mi conexion a internet nocturna, alguien entro a mi linux
> > 5.1 con kernel 2.0.34 ilegalmente.
> > Lo que me preocupa es que en los logs "last" aparecen los logs normales
> > de root (los mios y los unicos)_ y los de reboot.
> > Me di cuenta que habia alguien porque escribio un mensaje al sistema
> > el mensaje venia de syslog@localhost
> > ademas agrego un usuario directamente al /etc/passwd sin password y con
> > caracteristicas de root (0:0).
> >
> > como dije en el last no aparece nada
> > intente con "w" y nada, con finger y nada con who.
> >
> > en el /var/log/messages
> >
> > Apr  6 23:11:32 localhost mountd[281]: Unauthorized access by NFS client
> > 209.142.70.23.
> >
> > sera esta la intrusion?
> >
> > y como lo hicieron, en verdad que me preocupa, al parecer no hizo nada,
> > solo entro.
> > pero me preocupa los datos sensibles que tengo aqui
> >
> > gracias
> 
> 
>

Referencias:
- hack linux 5.1
  - De: Arquimedes

Previo por Fecha: CISCO 2000
Siguiente por Fecha: Re: mount/umount
Previo por Hilo: hack linux 5.1
Siguiente por Hilo: Como descomprimo un archivo.gz ??? <EOM>

[Hilos de Discusión] [Fecha] [Tema] [Autor]