> UN HAKER mi-a intrat in server.
> Cand am vazut (banuit) ca e cineva i-am dat reboot.
>
Mai bine scoteai cablul de retea.
> Nu imi mai mergea httpd-ul, squid-ul, samba si draq mai stie ce nu mai merge.
> Vreau sa refac sa mearga doar squid-ul, samba si iptraf-ul pt. moment
>
> Am obesrvat ca in /var/log sunt foarte putine fisiere.
>
Normal... Stergerea urmelor!
>
> HELP HELP HELP!!!
>
> Daca poate rog pe cineva sa imi faca un cont de FTP cu configuratiile necesare sa le
>copii si eu in al meu.
Este putin probabil, sa iti mearga config-urile altora. In principiu, dupa cate
banuiesc eu, parte din aplicatii nu mai pornesc pentru ca nu gasesc fisierele de
log-uri. Despre
comenzile care trebuiesc date...Este aproape ca si cum ai incerca sa pilotezi un avion
invatand dupa un articol din ziar.
>
> Sau sa imi spuneti comenzile pe care sa le dau.
> Sa reistalez din nou nu este o obtiune in acest moment.
Ba, chiar ar putea sa fie cea mai buna optiune.
>
>
> La httpd la restart imi dadea eroarea:
> [root@....]# service httpd start
> Starting httpd: fopen: No such file or directory
> httpd: could not open error log file /var/log/httpd/error_log.
> [FAILED]
>
> Am facut in /var/log directorul httpd.
> I-am dat drepturi pentru apache si tot nu merge.
> Cred ca trebie sa mai fac vre-un director.
>
> Acuma in /var/log/httpd/error_log
> [Fri Feb 21 02:38:24 2003] [notice] Apache/1.3.20 (Unix) (Red-Hat/Linux)
>mod_ssl/2.8.4 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.0.6 mod_perl/1.24_01 configured --
>resuming normal operations
> [Fri Feb 21 02:38:24 2003] [notice] suEXEC mechanism enabled (wrapper:
>/usr/sbin/suexec)
>
Probabil sunt sterse niste librarii.
>
> ES! La Squid mi-a mers sa ii refac log-ul la httpd nu stiu ce are
>
> root 2833 0.0 0.8 2188 968 ? SN 01:13 0:00 ftp ftp.polarhome.com
>
Este clar. Polarhome este un site care ofera shell free.Nu este prea intelept hackerul
tau. Acolo se pastreaza loguri cu fiecare intrare
Sfatul meu ar fi sa-ti iei inima in dinti si sa incerci sa reinstalezi. In sitemul
tau, in afara de librarii sterse sau distruse de root-kit, cu siguranta ai si multe
"portite" prin
care cel care a intrat poate sa o mai faca. Este dificil sa le decoperi si sa le "
astupi" pe toate si nici atunci nu poti fi sigur.
Parerea mea este ca cel care a intrat in sitem nu este un hacker, este vre-un pusti
tembel care a profitat de faptul ca aveai tu o distributie mai veche de RedHat si te-a
atacat cu un
exploit dupa care ti-a varat un rootkit.
Salveaza configurile care te intereseaza (este putin probabil sa fi umblat cineva la
ele) si este foarte probabil ca recopiate sa functioneze. Uita-te totusi prin ele daca
nu apare
ceva suspect - acl-uri straine in squid etc.
Reinstaleaza, sefilor le spui ca "a crapat" pur si simplu si incearca sa rezolvi
fiecare aplicatie in parte.
Sorin
--
Pentru dezabonare, trimiteti mail la
[EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
