взлом сервера
Добавлено: 2007-02-22 9:28:17
Пришло сегодня вот это
И вот это добавились два новых пользователя
Что сервак взломали? Что же делать в этой ситуации?
Код: Выделить всё
Checking setuid files and devices:
.ru setuid diffs:
--- /var/log/setuid.today Tue Aug 22 03:02:09 2006
+++ /tmp/security.EHHS6fgb Thu Feb 22 03:02:32 2007
@@ -3,6 +3,7 @@
16531 -r-sr-xr-x 1 root wheel 21792 Aug 1 14:55:03 2006 /sbin/ping
16532 -r-sr-xr-x 1 root wheel 28660 Aug 1 14:55:03 2006 /sbin/ping6
16545 -r-sr-x--- 1 root operator 10148 Aug 1 14:55:04 2006 /sbin/shutdown
+2340196 -rws--x--x 1 root wheel 258436 Feb 21 16:06:11 2007 /usr/X11R6/bin/xterm
2308103 -r-sr-xr-x 4 root wheel 20948 Aug 1 14:55:27 2006 /usr/bin/at
2308103 -r-sr-xr-x 4 root wheel 20948 Aug 1 14:55:27 2006 /usr/bin/atq
2308103 -r-sr-xr-x 4 root wheel 20948 Aug 1 14:55:27 2006 /usr/bin/atrm
Код: Выделить всё
Backup passwd and group files:
.ru passwd diffs:
43a44,45
> messagebus:(password):556:556::0:0:D-BUS Daemon User:/nonexistent:/sbin/nologin
> avahi:(password):558:558::0:0:Avahi Daemon User:/nonexistent:/sbin/nologin
group diffs:
50a51,52
> messagebus:*:556:
> avahi:*:558: