W liście z pon, 12-01-2004, godz. 17:34, Tomasz Buziak [uho] pisze: > elou, > wiem ze to moze lamerski post, ale moze sie ktos z tym spotkal > > na serwie byl odpalony serwer q3 i cs, jajo 2.4.20-9, > pewnego razu w /tmp znalazlem tajemniczy plik o nazwie k (ma juz dwa tygodnie) > :) no i nie wiem z kad sie tam wziol :) > proces tego programu wisial w pamieci i widac ze byl odpalony przez skrypt > shelowy z prawami usera na ktorym odpalony byl serwer q3,cs i nasluchiwal na > portach 27011 i jakims udp, cholera nie probowalem sie dobic na ten port, od > razu zabilem procesa. > > w logach nie znalazlem dziwnych logowan (nie mam kont shellowych) lub zachowan > systemu, chyba sie nic takiego nie stalo, bo proces chodzil na prawach serwera > q3 przez ktory prawdopodobnie sie tam znalazl. > > chkrootkit nic nie wykazal, chyba system nie zostal zkazony ! narazie dziala >
To hatorihanzo, expoloit na do_brk, blad w kernelu. TiweK -- Tomasz Witek <[EMAIL PROTECTED]> _________________________________________ http://pld-linux.org/ = faq, howto, newsy dostales tutaj odpowiedz na swoje pytanie? podziel sie z innymi i dopisz do FAQ! http://pld-linux.org/FAQ/
