[FUGSPBR] Hackeado...
Paulo Quartieri
di em hipercheque.com.br
Seg Out 29 18:00:28 BRST 2001
Pessoal: Neste domingo, 29 nosso site foi hackeado. O sujeito trocou o
diretório da página, de '/usr/local/www/html´ para /usr/home/httpd/html´ e
alterou a senha do usuário qb. (Freebsd 4.3)
Pergunta: Olhando esta parte do messages, dá para dizer como? Aparentemente
ele descobriu a senha (como?) do usuário qb e depois deu um su para o toor.
O que devo ´fechar´ para evitar este tipo de invasão?
Desde já, agradeço.
Paulo Quartieri
Oct 26 17:50:02 gw squid[303]: sslReadServer: FD 16: read failure: (54)
Connection reset by peer
Oct 27 14:18:53 gw ftpd[48284]: FTP LOGIN FAILED FROM
AVelizy-101-1-5-142.abo.wanadoo.fr, anonymous em ftp.mi
Oct 28 08:58:28 gw popper[50161]: Unable to obtain socket and address of
client: Socket is not connected
Oct 28 08:58:42 gw postfix/smtpd[50162]: fatal: accept connection: Software
caused connection abort
Oct 28 08:58:56 gw ftpd[50165]: getpeername (ftpd): Socket is not connected
Oct 28 08:59:48 gw popper[50168]: (v2.53) Unable to get canonical name of
client 66.21.117.5: Unknown host
Oct 28 17:09:02 gw su: qb to toor on /dev/ttyp2
----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.
Mais detalhes sobre a lista de discussão freebsd