'Accepted password for $user', ale neni v `last`

Dan Lukes dan at obluda.cz
Mon Mar 15 16:35:10 CET 2004


Jan Stary wrote:

> Moje logy rikaji divnou vec:
> 
> /var/log/security:
> Mar 15 15:05:26 ipfw: 1300 Accept TCP 195.113.31.137:34997 ${IP}:22 in via vr0
> Mar 15 15:05:46 ipfw: 1300 Accept TCP 195.113.31.137:35043 ${IP}:22 in via vr0
> 
> /var/log/auth.log:
> Mar 15 15:05:40 Accepted password for ${user} from 195.113.31.137 port 34997 
> Mar 15 15:05:49 Accepted password for ${user} from 195.113.31.137 port 35043 

> `last` neobsahuje zadnou zminku.

> Ze stroje 195.113.31.137 se neloguju, vsak taky neexistuje.
> 
> Otazka je jasna: jsem zahaknutej?
> Co mam dalsiho vyzkouset/prohlidnout?

	To, ze "last" neobsahuje zadnou zminku by bylo znepokojujici pouze v 
pripade, ze v obdobnem pripade jinak zminku obsahuje. Nerekl jsi, jakou 
verzi SSH mas nainstalovanou. A SSH v nekterych pripadech proste do last 
zapisovat nemusi.

	Ani to, ze ti nepripada povedomy tento stroj nemusi znamenat, ze z nej 
nemohou prichazet tvoje vlastni regulerni pozadavky na prihlaseni - 
treba jsi se prihlasoval z nejakeho stroje za prekladem - a toto je 
masina delajici preklad.

	Nicmene, urcite si pamatujes, kde jsi byl a co jsi delal pred hodinou - 
takze nebude problem vedet, jestli jsi se v te dobe logoval na svoji 
masinu a odkud.

	Mimochodem - na te udajne neexistujici masine bezi funkcni WWW server a 
z obsahu stranky se zda, ze ten stroj si o sobe mysli, ze je 
artax.karlin.mff.cuni.cz. Ano - ma sice jinou IP adresu nez tu na kterou 
se zresolvi toto jmeno, ale to muze mit ruzna vysvetleni - napriklad to 
muze byt druha karta nebo IP tehoz stroje (a nema v poradku reverzni 
zaznam).

	Rozhodne nepovazuju za jiste, ze ty pristupy nejsou primo od tebe - to 
jmeno je napadne podobne tomu, ktere mas v emailove adrese ...

	Nicmene - pokud mas dojem, ze urcite nejsou - no tak to patrne 
napadnuty jsi, protoze to nalogovani se evidentne povedlo. Pokud se 
utocnikovi navic podarilo dostat na rootovsky ucet, pak to nejrozumnejsi 
co muzes udelat je format a nova instalace.

	Krome toho si muzes zjistit (postezovat) spravci toho stroje, ze 
ktereho (mozny) utok prichazi. Jak vidno z traceroute, ktery sem poslal 
Pechy, jde o stroj v karlinske budove MFF UK. Tim je zcela jasne, komu 
mas napsat. Nicmene, kdybys, ac jsi sudentem teto fakulty, preci jen 
nahodou neznal narizeni dekana c. 4/98, ktere (m.j.) kontaktni adresy 
stanovi, tak ti ji prozradim - netadm at karlin.mff.cuni.cz - nejlepsi 
(pokud nedojdes k zaveru, ze to je cele plany poplach) bude zacit tam ...


							Dan




More information about the Users-l mailing list