Re: resolv.conf a arp

To	Debian CZ/SK project discussion list <czdebian-l zavinac debian bod cz>
From	Jan Houstek <houstek-lists zavinac utf bod mff bod cuni bod cz>
Date	Sat, 26 Jun 2004 00:38:55 +0200 (CEST)

On Tue, 22 Jun 2004, Petr Heřman wrote:

> Podle jeho mtime jsem pomocí find našel, že
>
> - se změnil mtime adresáře /bin
> - v adresáři /bin se objevil soubor arp, který je normálně v /usr/sbin/

Namontujte ten disk v nejakem trusted systemu, udelejte si kopii
systemovych souboru, porovnejte je s nejakym overenym zdrojem (debsums
apod.). Zejmena se podivejte na ten /bin/arp, velmi pravdepodone to bude
nejaky rootkit.

> Jinak jsem už nikde nic změněného nenašel a nikde se nic podezřelého
> neděje, po vrácení původního /etc/resolv.conf všechno zase běží, jan
> nechápu, co by s tímhle mohl mít kdo co za lubem?

No co, proste vam to nekdo hacknul. Pokud nemate ve forenzni analyze
napadenych systemu zadnou praxi (coz asi nemate, kdyz se tady ptate), tak
nejlepsi, co muzete udelat, je ten system preinstalovat, stary si nekde
schovat a ve volnych chvilich se snazit objevit, kudy se tam skudce dostal
a ta vrata mu zavrit (i kdyz velmi pravdepodobne mu je zavre ta
reinstalace na nejaky solidne podporovany system, napr. _aktualni_ Woody :)

-- Honza Houstek

Partial thread listing:

Re: resolv.conf a arp, (pokračuje)
- Jan Houstek
Nove jadro opravujici posledni chybu - existuje ?
Roman Beitl
- Roman Beitl
nabizim bandwidthd pro woody
Petr Stehlik
- Jan Houstek