From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <val@val.udm.ru>
Date: Wed, 25 Dec 2002 23:32:13 +0500
From: Roman Shumikhin <val@val.udm.ru>
X-Mailer: The Bat! (v1.61)
X-Priority: 3 (Normal)
Message-ID: <665277934.20021225233213@val.udm.ru>
To: Antonio <community@altlinux.ru>
In-Reply-To: <Pine.LNX.4.44.0212251547030.682-100000@tony.localnet>
References: <Pine.LNX.4.44.0212251547030.682-100000@tony.localnet>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Subject: [Comm] =?koi8-r?B?UmVbMl06IFtDb21tXSBSZVsyXTogW0NvbW1dIO3P1s7PIMzJLCDOxSDazsHR?=
 =?koi8-r?B?INLV1M/Xz8fPINDB0s/M0SDJIMLF2iDQxdLF2sHH0tXay8kg1yBzaW5nbGUg?=
 =?koi8-r?B?bW9kZSwg2sHK1Mkg1yDTydPUxc3VPw==?=
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
X-Reply-To: Roman Shumikhin <val@val.udm.ru>
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/665277934.20021225233213@val.udm.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Привет, Antonio!

A> Оппаньки... Какой неквалицированный "хацкер" попался. ;-)

A> Очень похоже на руткит или некоего левого юзера с uid=0.

A> Кстати, посмотрите логи на предмет того, кто, когда и откуда
A> логинился. И всех юзеров на предмет их id в
A> /etc/{passwd|shadow}.

A> Могу только посоветовать, как уже сказали до меня, полную
A> переустановку системы с обязательным пересозданием всех файловых
A> систем. Это проще и быстрее, чем искать неизвестно что. :-(

A> P.S. Offtopic: В OpenBSD такие вещи ловятся: каждые сутки
A> админу идет набор писем, в которых как минимум отражаются:
A> а) df -h, информация о сетевых интерфейсах;
A> б) список измененных файлов, файлы/каталоги с неправильными
A> правами/владельцами и т.п. (Daily Insecurity report).
A> И если эти письма вдруг перестали ходить вообще или в них
A> отражается не то, что Вы делали, значит, с системой кто-то
A> нехорошо играется.
A> В принципе, это можно перенести и на ALT, ибо (грубо говоря)
A> состоит из набора скриптов, засунутых в cron/daily.

Юзеров  всего 2 (я и ещё один человек), причём насчёт второго я уверен
на  100%,  ломать  что-то для него смысла нет. Похоже, что систему всё
таки     придётся     переустанавливать.    А    пока    я    прописал
скрипт-предупреждение  о каждом рутовом заходе себе на смс, может быть
застану супостата на месте преступления ;-)}

Роман