Взломали копутер. Вообще-то, сейчас я им рулю, но он - моего коллеги, с которым
мне не охота связываться. Он его "одевал" в SuSE 7.0, а сейчас на год слинял
в другой город. Что он там наставил, трудно разгрести, но, вот, на днях ломанули.
Наверное, через sshd 1.2.27, кажется. На нем никто не работает, стоит себе в углу...
"Деструкцию" производил LKM rootkits, а рулили компьютером через демон
sshd2 с ключом -q
Я погасил сетку ifconfig eth0 down и стал копаться. Все разобрал,
много чего позаменяли, я сейчас "для порядку" всю систему переставляю.
Обнаружил процесс ssh2d -q , который сушал некий порт. ps ls netstat
его/файл не видят - LKM, да и бинарники заменили! - но некими нетривиальными прогами
я узрел, что процесс этот держит сокет на порту 4256, который уже закрыт, но remote IP
адрес его остался! Реальная машина, я ее даже WEBом посмотрел - страничка состоит из
надписи Cum Swallowing Sluts
ВОПРОС: этот IPшник - действительно то, откуда мною рулили, или же одна из жертв?
Очень охота найти козла! :)
Если кто откликнется, напишу все подробности - какие файлы заменили,
с какими ext2 атрибутами, куда спрятали оригинальные файлы.
Помогайте, никогда security не интересовался - до позавчерашнего дня :)