From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <gnomik@mtv.ru>
Date: Wed, 25 Dec 2002 10:25:21 +0300
From: Andrew Nazarkin <gnomik@mtv.ru>
To: community@altlinux.ru
Subject: Re: [Comm] =?KOI8-R?B?7c/Wzs8gzMksIM7FINrOwdEg0tXUz9fPx88g0MHSzw==?=
 =?KOI8-R?B?zNEgySDCxdog0MXSxdrBx9LV2svJINc=?= single mode, =?KOI8-R?B?2g==?=
 =?KOI8-R?B?wcrUySDXINPJ09TFzdU/?=
Message-Id: <20021225102521.79c957ef.gnomik@mtv.ru>
In-Reply-To: <553086429.20021224230733@val.udm.ru>
References: <553086429.20021224230733@val.udm.ru>
Organization: MTV Russia
X-Mailer: Sylpheed version 0.8.6 (GTK+ 1.2.10; i586-alt-linux)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/20021225102521.79c957ef.gnomik@mtv.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Tue, 24 Dec 2002 23:07:33 +0500
Roman Shumikhin <val@val.udm.ru> wrote:

> Привет, уважаемому community!
> 
> Что-то  странное происходит на нашем рабочем сервере... Рутовый пароль
> меняю  каждую  неделю.  Но  всё  равно  кто-то ползает под рутом в моё
> отсутствие!!!  :-[  ]  Хакер долбаный блин! Причём подозреваю, что это
> кто-то  из своих... (ничего плохого пока не сделал и думаю не сделает,
> т.к.  вычислить  будет  довольно  просто ,но всё равно неприятно). Вот
> только  не могу понять, как он может попасть в систему, т.к. я уверен,
> что пароля он не знает, а меняю я его через ssh соединение. Может быть
> руткит при установке системы нам подсунули, ставил не я... Пользовался
> утилитой  chkrootkit - говорит, что всё чисто... Пожалуйста объясните,
> где может быть дыра в системе. Нужно срочно всё залатать.
> Роман

В принципе, позможен и такой вариант: один раз он узнал/сломал пароль,
потом прописал себя в /etc/sudoers с правами ALL:ALL и развлекается...
В принципе, совсем недавно, простой юзер с такими правами мог менять
ПАРОЛЬ РУТА! Вот только не знаю, закрыли дырку или нет.. Не проверял...
Я в свое время на спор так сделал со своим напарником - он долго репу
чесал, как я мог без перезагрузки и инита 1 пароль руту сменить.

> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community