From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <obidos@mail.ru>
Date: Wed, 25 Dec 2002 16:00:45 +0300 (MSK)
From: Antonio <obidos@mail.ru>
X-X-Sender: tony@tony.localnet
To: "Sergey V. Golovin" <community@altlinux.ru>
Subject: Re: [Comm] =?koi8-r?B?UmVbMl06IFtDb21tXSDtz9bOzyDMySwgzsUg2s7B0SDS1dTP18/HzyDQwdLP?=
 =?koi8-r?B?zNEgySDCxdog0MXSxdrBx9LV2svJINcgc2luZ2xlIG1vZGUsINrBytTJINcg?=
 =?koi8-r?B?08nT1MXN1T8=?=
In-Reply-To: <187723061.20021225162139@val.udm.ru>
Message-ID: <Pine.LNX.4.44.0212251547030.682-100000@tony.localnet>
MIME-Version: 1.0
Content-Type: TEXT/PLAIN; charset=koi8-r
Content-Transfer-Encoding: 8BIT
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: community@altlinux.ru
X-Reply-To: Antonio <obidos@mail.ru>
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/Pine.LNX.4.44.0212251547030.682-100000@tony.localnet/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Wed, 25 Dec 2002, Roman Shumikhin wrote:

> В истории bash'a все команды записаны, и я точно помню, что запускал,
> а что нет :-)

Оппаньки... Какой неквалицированный "хацкер" попался. ;-)

Очень похоже на руткит или некоего левого юзера с uid=0.

Кстати, посмотрите логи на предмет того, кто, когда и откуда
логинился. И всех юзеров на предмет их id в
/etc/{passwd|shadow}.

Могу только посоветовать, как уже сказали до меня, полную
переустановку системы с обязательным пересозданием всех файловых
систем. Это проще и быстрее, чем искать неизвестно что. :-(

P.S. Offtopic: В OpenBSD такие вещи ловятся: каждые сутки
админу идет набор писем, в которых как минимум отражаются:
а) df -h, информация о сетевых интерфейсах;
б) список измененных файлов, файлы/каталоги с неправильными
правами/владельцами и т.п. (Daily Insecurity report).
И если эти письма вдруг перестали ходить вообще или в них
отражается не то, что Вы делали, значит, с системой кто-то
нехорошо играется.
В принципе, это можно перенести и на ALT, ибо (грубо говоря)
состоит из набора скриптов, засунутых в cron/daily.

- -- Best regards,
	Tony.			mailto:obidos@mail.ru

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)

iD8DBQE+CawA2gaLrWRbr5URAjzdAKCMExy7qqSw025w1wzev+aHqis1jgCeKveV
WYSQhqK8MoPdHzAp1pp0hoU=
=Fi+c
-----END PGP SIGNATURE-----