[unix-ws] Hacker auf Solaris 2.6 System

Sebastian Hagedorn Hagedorn at spinfo.uni-koeln.de
Die Okt 15 10:28:30 CEST 2002 

--On Monday, October 14, 2002 17:23:51 +0200 Thomas Lange 
<lange at informatik.uni-koeln.de> wrote:

Hallo,

> wird haben auf einem schlecht gewarteten System mit Solaris 2.6
> Hacker. Sie haben /usr/bin/login veraendert und in /etc/inittab srload
> eingetragen. Wir haben das System erstmal abgeschaltet, da es wenig
> benutzt wurde. Wie die Hacker reingekommen sind wissen wir noch nicht
> genau. Ich schick eine Email wenn ich mehr weiss.

ich war neugierig, was srload ist, und habe beim Googlen folgendes gefunden:

> Our server which is a SUN Sparc 5 running solaris 5.7 has been
> hacked.  The symptoms are that the perfmeters (performance
> meters) appear with a gravestone which has R.I.P on it and
> the following message appears:
>
>     INIT command is resspawning too quickly
>     use SV  /usr/bin/srload -D -q
>
> The srload command seems to do nothing except complain the
> -D is invalid. I have restored the /sbin /usr/sbin /usr/bin
> and /usr/lib directories from backups.  This seemed to work
> yesterday.  This morning the problem reappeared and restoring
> the same file systems has not cured the problem.
>
> We are a very small company and are connected to the world
> a briefly as possible to pick up mail and search the web.
> I do not understand the mechanisms for such hacking.
>
> It is obvious that we must finally move to Solaris 8 and put
> up a good firewall but in the meantime are there any suggestions
> about how to fix the current problem as I cannot Rest In Peace
> with that gravestone staring me in the face?

http://www.linuxchix.org/pipermail/techtalk/2002-August/015506.html

Gruß, Sebastian
--
Sebastian Hagedorn
Ehrenfeldgürtel 156
50823 Köln
http://www.spinfo.uni-koeln.de/~hgd/

Being just contaminates the void - Robyn Hitchcock
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 185 bytes
Beschreibung: nicht verfügbar
URL         : https://lists.uni-koeln.de/mailman/private/unix-ws/attachments/20021015/c854e293/attachment.bin