---

I dag fik jeg brug for at logge direkte på min server for at starte
min sshd som jeg havde fået dræbt. Jeg loggede direkte på som root,
det var jo ligeså nemt nu jeg sad foran maskinen.
Da jeg logger på får jeg følgende at vide:
"Last login: 15 Feb 00:28:29 from 0x3ef3271d.vjnxr5.ras.tele.dk"

Eftersom jeg er Tiscali kunde blev jeg lidt meget forundret. Jeg har
slået følgende op:

susie:/etc # host 0x3ef3271d.vjnxr5.ras.tele.dk
0x3ef3271d.vjnxr5.ras.tele.dk has address 62.243.39.29
- so far so god, så har vi en IP også...

Jeg har søgt i mine logfiler, det eneste jeg har kunnet finde mht.
til IP'en og hostnavnet er:

Feb 15 00:28:26 susie sshd[5324]: Accepted password for root
from 62.243.39.29 port 1117 ssh2
Feb 15 00:30:10 susie sshd[5324]: Received disconnect
from 62.243.39.29: 11: All open channels closed

dvs, en eller anden har været logget på min server som root i ~2min.
midt om natten (iøvrigt en dag jeg ikke var hjemme).

Hvad skal jeg gør for at finde ud af hvem det er og hvad vedkommende
har gjort ? - det ville være lækkert at vide lidt mere inden jeg evt.
kontakter CSirt (som står på RIPE som abusekontakt).

For at gøre det hele endnu mere træls, så minder det hele om hvad jeg
selv lavede på maskinen, der er dog et par ting der ikke helt passer
med det, nemlig tidspunkterne og varigheden af login (jeg loggede på
d. 13 om eftermiddagen og fra en get2net modemaccount - hvilket også
ses i logfilerne...)

Håber nogen herinde kan hjælpe mig, det ser heldigvis ikke ud til at
der er sket noget på maskinen, men det er da ubehageligt at have haft
gæster på den måde!

--
Henrik Stidsen | HS235-DK | Samleobjekt

---

Det lyder som om at du har ret i at du har haft ubudne gæster på maskinen!

Hvis jeg var dig ville jeg sørge for at geninstallere maskinen, da det
første en hacker gørt der har fået adgang er at installere et root kit for
at skaffe sig ubegrænset og usynlig adgang til makinen. Og det er ikke nemt
at vide hvike filer der er blevet modificeret ved installationen af et root
kit.!!

"Henrik Stidsen" <s-p-a-m@spammer.dk> wrote in message
news:Xns91BCD4A15739Ahstidsen@212.54.64.135...
> I dag fik jeg brug for at logge direkte på min server for at starte
> min sshd som jeg havde fået dræbt. Jeg loggede direkte på som root,
> det var jo ligeså nemt nu jeg sad foran maskinen.
> Da jeg logger på får jeg følgende at vide:
> "Last login: 15 Feb 00:28:29 from 0x3ef3271d.vjnxr5.ras.tele.dk"
>
> Eftersom jeg er Tiscali kunde blev jeg lidt meget forundret. Jeg har
> slået følgende op:
>
> susie:/etc # host 0x3ef3271d.vjnxr5.ras.tele.dk
> 0x3ef3271d.vjnxr5.ras.tele.dk has address 62.243.39.29
> - so far so god, så har vi en IP også...
>
> Jeg har søgt i mine logfiler, det eneste jeg har kunnet finde mht.
> til IP'en og hostnavnet er:
>
> Feb 15 00:28:26 susie sshd[5324]: Accepted password for root
> from 62.243.39.29 port 1117 ssh2
> Feb 15 00:30:10 susie sshd[5324]: Received disconnect
> from 62.243.39.29: 11: All open channels closed
>
> dvs, en eller anden har været logget på min server som root i ~2min.
> midt om natten (iøvrigt en dag jeg ikke var hjemme).
>
> Hvad skal jeg gør for at finde ud af hvem det er og hvad vedkommende
> har gjort ? - det ville være lækkert at vide lidt mere inden jeg evt.
> kontakter CSirt (som står på RIPE som abusekontakt).
>
> For at gøre det hele endnu mere træls, så minder det hele om hvad jeg
> selv lavede på maskinen, der er dog et par ting der ikke helt passer
> med det, nemlig tidspunkterne og varigheden af login (jeg loggede på
> d. 13 om eftermiddagen og fra en get2net modemaccount - hvilket også
> ses i logfilerne...)
>
> Håber nogen herinde kan hjælpe mig, det ser heldigvis ikke ud til at
> der er sket noget på maskinen, men det er da ubehageligt at have haft
> gæster på den måde!
>
> --
> Henrik Stidsen | HS235-DK | Samleobjekt

---

"Tom Madsen" <tom.madsen@chicks.dk> wrote in message
news:3c758959$0$231$edfadb0f@dspool01.news.tele.dk...
> Det lyder som om at du har ret i at du har haft ubudne gæster på maskinen!
>
> Hvis jeg var dig ville jeg sørge for at geninstallere maskinen, da det
> første en hacker gørt der har fået adgang er at installere et root kit for
> at skaffe sig ubegrænset og usynlig adgang til makinen. Og det er ikke
nemt
> at vide hvike filer der er blevet modificeret ved installationen af et
root
> kit.!!
>
"klip"
Husk, inden reinstall, at gem alle dine logfiler til evt. videre
efterforskning

Martin

---

"Tom Madsen" <tom.madsen@chicks.dk> wrote in
news:3c758959$0$231$edfadb0f@dspool01.news.tele.dk:

> Det lyder som om at du har ret i at du har haft ubudne gæster på
> maskinen!

så er det nu jeg skal komme med den pinlige indrømmelse...

- jeg havde glemt at jeg loggede på fra en TDC modemforbindelse mens
jeg var på ferie, så det er mig selv *flovt*

--
Henrik Stidsen | HS235-DK | Samleobjekt

---

"Henrik Stidsen" <s-p-a-m@spammer.dk> wrote in message
news:Xns91BD70D5FAE83hstidsen@212.54.64.134...

>
> så er det nu jeg skal komme med den pinlige indrømmelse...
>
> - jeg havde glemt at jeg loggede på fra en TDC modemforbindelse mens
> jeg var på ferie, så det er mig selv *flovt*
>

Render du efter øl?

F

---

"Flemming Lynggaard" <news@edbmongol.dk> wrote in
news:3c768aea$0$234$157c6196@dreader1.cybercity.dk:

>> så er det nu jeg skal komme med den pinlige indrømmelse...
>> - jeg havde glemt at jeg loggede på fra en TDC
>> modemforbindelse mens
>> jeg var på ferie, så det er mig selv *flovt*
>
> Render du efter øl?

hæhæ, det burde jeg næsten - men man skal jo se lyst på det hele, jeg
fik da lige lukket et par potentielle huller (f.eks. at root nu ikke
længere på logge ind på SSH!)

--
Henrik Stidsen | HS235-DK | Samleobjekt