resolv.conf a arp
|
To |
czdebian-l zavinac debian bod cz |
|
From |
Petr Heřman <ph zavinac lf2 bod cuni bod cz> |
|
Date |
Tue, 22 Jun 2004 19:01:53 +0200 |
|
Mail-followup-to |
czdebian-l zavinac debian bod cz |
|
User-agent |
Mutt/1.3.28i |
Mám podezření, že mi někdo hacknul WWW server, kde mi ještě běží
starý Debian s 2.2.17.
Zjistil jsem to až tak, že mi cron.weekly po týdenní rotaci souborů
/var/log/apache/*
nenaběhnul apache:
error.log:
[Sun Jun 20 06:30:51 2004] [notice] SIGUSR1 received. Doing graceful restart
[Sun Jun 20 06:30:51 2004] [alert] apache: Could not determine the server's
ful\ly qualified domain name
[Sun Jun 20 06:32:43 2004] [alert] mod_unique_id: unable to gethostbyname
a po pokusu o ruční nahození:
error.log:
[...] [alert] mod_unique_id: unable to gethostbyname
[...] [warn] pod file /var/run/apache.pid overwritten -- Unclean shutdown of
previous Apache run?
což, jak jsem zjistil, bylo způsobeno změněným /etc/resolv.conf
což kdosi změnil na:
nameserver 209.68.1.11
Podle jeho mtime jsem pomocí find našel, že
- se změnil mtime adresáře /bin
- v adresáři /bin se objevil soubor arp, který je normálně v /usr/sbin/
Jinak jsem už nikde nic změněného nenašel a nikde se nic podezřelého neděje,
po vrácení původního /etc/resolv.conf všechno zase běží, jan nechápu,
co by s tímhle mohl mít kdo co za lubem?
Petr Heřman
Partial thread listing: