Что это было?

[Lemon_joe]

Прихожу сегодня с утра на работу: комп вчера оставил включенным.
Разблокирую, начинаю работать и замечаю что комп жутко тормозит... Все останавливается.. решил перегрузиться. жму на power. Выключилась. Включаю - система не грузится. Груб, выбор мандривы и все - черный экран.
В safe mode загрузилось. Открываю логи: кто-то пытался авторизоваться у меня (как я понял).

Код:

Mar 26 09:19:19 localhost useradd[4725]: new group: name=ftw, gid=70 
Mar 26 09:19:19 localhost useradd[4725]: new user: name=ftw, UID=70, GID=70, home=/home/ftw, shell=/bin/false 
Mar 26 09:19:19 localhost su: pam_unix(su:session): session opened for user ftw by (uid=0) 
Mar 26 09:19:20 localhost su: pam_unix(su:session): session closed for user ftw 
Mar 26 09:19:20 localhost userdel[4731]: delete user `ftw' 
Mar 26 09:19:20 localhost userdel[4731]: remove group `ftw' 

Сменил рута, загрузился в нормальном режиме. Интернета нет. Лезу в сетевой центр - там девственная чистота... Прописал заново айпишники - все заработало. Вопрос: что это было?
Инфа из энциклопедии http://lurkmore.ru/FTW

FTW  «For The Win». Выражение радости и поддержки чего-либо.
Это незавершённая статья. Вы поможете проекту, исправив и дополнив её.
[править] Иной вариант
FTW = Fuck The World !

Это был хакер?

[Леголегс]

*просматривая логи*
№?@$Ь!!!!
*сменил пароль рута и отрубил sshd*

[Lemon_joe]

А все-таки?

[Леголегс]

Ну разумеется это хакер! Если не ты сам, конечно. У меня ломились - 100%, правда давно.

[all]

у мя тоже правда его фаер отправил в небытие) тока вот откуда он su выполнил, вот в чем вопрос, мож какойто процесс затерминейтил с ошибкой?

[RemDerBauer]

круть((( а если я далек от понимания таких вещей? мою машину хакнут и будут юзать, как хотят, а я и знать не буду(((

[BuBa]

гыгы..закрывайтесь фаерами с наружи, я вот щас себе городить буду стенку параноидальную, если удасцо то свичу 2 уровня прикручу(разпаролить надо бы сначала)

пысы: ни кто не знает инженерку в 4.09b прошивки для DES-3526

[Lemon_joe]

Хм. И как от подобного защититься?
И как можно выяснить, кто и через что пролез?

[BuBa]

2Lemon_joe:
а мож тупо уборщица мега хацкер?

[Lemon_joe]

Это началось не сразу... И к тому же логи меня смущают....

[Nebula]

...
Это был хакер?

Расслабься, это была мандрива Ссылка (Трафик!!!)

[NeO]

Бгггг ))) Какой шухер поднялся ))

[Леголегс]

Чо шухер. У меня правдо кто-то лазил.
audit/audit.log.2:type=USER_LOGIN msg=audit(1190979541.390:1520): user pid=7348 uid=0 auid=500 subj=user_u:system_r:sshd_t:s0-s0:c0.c1023 msg='uid=500: exe="/usr/sbin/sshd" (hostname=172.24.160.119, addr=172.24.160.119, terminal=/dev/pts/2 res=success)'
audit/audit.log.2:type=CRED_DISP msg=audit(1190982167.932:1528): user pid=7348 uid=0 auid=500 subj=user_u:system_r:sshd_t:s0-s0:c0.c1023 msg='PAM: setcred acct=legolegs : exe="/usr/sbin/sshd" (hostname=172.24.160.119, addr=172.24.160.119, terminal=ssh res=success)'
audit/audit.log.2:type=USER_END msg=audit(1190982167.933:1529): user pid=7348 uid=0 auid=500 subj=user_u:system_r:sshd_t:s0-s0:c0.c1023 msg='PAM: session close acct=legolegs : exe="/usr/sbin/sshd" (hostname=172.24.160.119, addr=172.24.160.119, terminal=ssh res=success)'
Айпи незнакомый.

[Lemon_joe]

...
Это был хакер?

Расслабься, это была мандрива Ссылка (Трафик!!!)

Спасибо. Буду знать...

[BuBa]

Гыгы...

Хост:172.24.160.119: порт :21 (ftp)  открыт
Хост:172.24.160.119: порт :25 (smtp)  открыт
Хост:172.24.160.119: порт :80 (http)  открыт
Хост:172.24.160.119: порт :81 (Unknown)  открыт
Хост:172.24.160.119: порт :83 (Unknown)  открыт
Хост:172.24.160.119: порт :110 (pop3)  открыт
Хост:172.24.160.119: порт :119 (nntp)  открыт
Хост:172.24.160.119: порт :143 (imap)  открыт
Хост:172.24.160.119: порт :443 (https)  открыт
Хост:172.24.160.119: порт :465 (Unknown)  открыт
Хост:172.24.160.119: порт :993 (Unknown)  открыт
Хост:172.24.160.119: порт :995 (Unknown)  открыт