'Accepted password for $user', ale neni v `last`
Dan Lukes
dan at obluda.cz
Mon Mar 15 16:35:10 CET 2004
Jan Stary wrote:
> Moje logy rikaji divnou vec:
>
> /var/log/security:
> Mar 15 15:05:26 ipfw: 1300 Accept TCP 195.113.31.137:34997 ${IP}:22 in via vr0
> Mar 15 15:05:46 ipfw: 1300 Accept TCP 195.113.31.137:35043 ${IP}:22 in via vr0
>
> /var/log/auth.log:
> Mar 15 15:05:40 Accepted password for ${user} from 195.113.31.137 port 34997
> Mar 15 15:05:49 Accepted password for ${user} from 195.113.31.137 port 35043
> `last` neobsahuje zadnou zminku.
> Ze stroje 195.113.31.137 se neloguju, vsak taky neexistuje.
>
> Otazka je jasna: jsem zahaknutej?
> Co mam dalsiho vyzkouset/prohlidnout?
To, ze "last" neobsahuje zadnou zminku by bylo znepokojujici pouze v
pripade, ze v obdobnem pripade jinak zminku obsahuje. Nerekl jsi, jakou
verzi SSH mas nainstalovanou. A SSH v nekterych pripadech proste do last
zapisovat nemusi.
Ani to, ze ti nepripada povedomy tento stroj nemusi znamenat, ze z nej
nemohou prichazet tvoje vlastni regulerni pozadavky na prihlaseni -
treba jsi se prihlasoval z nejakeho stroje za prekladem - a toto je
masina delajici preklad.
Nicmene, urcite si pamatujes, kde jsi byl a co jsi delal pred hodinou -
takze nebude problem vedet, jestli jsi se v te dobe logoval na svoji
masinu a odkud.
Mimochodem - na te udajne neexistujici masine bezi funkcni WWW server a
z obsahu stranky se zda, ze ten stroj si o sobe mysli, ze je
artax.karlin.mff.cuni.cz. Ano - ma sice jinou IP adresu nez tu na kterou
se zresolvi toto jmeno, ale to muze mit ruzna vysvetleni - napriklad to
muze byt druha karta nebo IP tehoz stroje (a nema v poradku reverzni
zaznam).
Rozhodne nepovazuju za jiste, ze ty pristupy nejsou primo od tebe - to
jmeno je napadne podobne tomu, ktere mas v emailove adrese ...
Nicmene - pokud mas dojem, ze urcite nejsou - no tak to patrne
napadnuty jsi, protoze to nalogovani se evidentne povedlo. Pokud se
utocnikovi navic podarilo dostat na rootovsky ucet, pak to nejrozumnejsi
co muzes udelat je format a nova instalace.
Krome toho si muzes zjistit (postezovat) spravci toho stroje, ze
ktereho (mozny) utok prichazi. Jak vidno z traceroute, ktery sem poslal
Pechy, jde o stroj v karlinske budove MFF UK. Tim je zcela jasne, komu
mas napsat. Nicmene, kdybys, ac jsi sudentem teto fakulty, preci jen
nahodou neznal narizeni dekana c. 4/98, ktere (m.j.) kontaktni adresy
stanovi, tak ti ji prozradim - netadm at karlin.mff.cuni.cz - nejlepsi
(pokud nedojdes k zaveru, ze to je cele plany poplach) bude zacit tam ...
Dan
More information about the Users-l
mailing list