Jak doniosły WSI, dnia Wed, 14 Nov 2007 10:17:41 +0000 Marcin Owsiany <[EMAIL PROTECTED]> napisał(a):
> On Wed, Nov 14, 2007 at 08:06:48AM +0100, Jerzy Patraszewski wrote: > > IMHO - nie masz się co przejmować za bardzo (?), jeśli twój serwer > > był skonfigurowany zgodnie "z zasadami sztuki". > > Właśnie w tym problem, że nie był. Miał stare jądro, zapewne z nie > jedną dziurą umożliwiającą uzyskanie praw nadzorcy. Więc wszystko > rozbija się o dylemat - poświęcać czas i energię na przebudowanie > systemu, czy przejechać chkrootkitem i wierzyć, że faktycznie nie ma > backdoorów. > > Marcin > PS: Możesz ustawić jakieś sensowniejsze zawijanie linii? Witaj, uważam w tej sytuacji, że szybciej ci będzie postawić system na nowo a nie bawić się w zgadywankę. Dalej uważam, że to jakiś dzieciak, ale mimo wszystko ja bym zrobił dd tego dysku, system postawił na nowo, a obraz z dysku z włamu zostawił dla celów edukacyjnych. Zawsze wieczorem, przy piwie możesz odpalić w vmware/virtualbox/xen/cokolwiek sobie iso i rozpocząć analizę. IMHO - jeżeli sam nie masz zaufania do systemu to go przeinstaluj poprawnie. Co do samego jądra, to grsec uniemożliwia wykorzystanie większości nowych (i starych) dziur (np ptrace local escalation - PoC venglina) - polecam :) Pozdr. sm0q
