Byl jsem hacknut ?

[Pavel Půlpán]

... autor nechal zavrenou ve svem detskem pokoji kocku kdyz sel do skoly a ta se zatim seznamovala s klavesnici ... tohle se mi stalo ...

Tak pokavaď byla dvounohá...

[Petr Merlin Vaněček]

... autor nechal zavrenou ve svem detskem pokoji kocku kdyz sel do skoly a ta se zatim seznamovala s klavesnici ... tohle se mi stalo ...

Ty nadelaji obvykle vice skod i na jinych mistech!
Tak pokavaď byla dvounohá...

Ty nadelaji obvykle vice skod i na jinych mistech!

[Firzen]

v nouzovém režimu zkuste příkazem adduser přidat nového uživatele. pak zkuste ten příkaz startx.
edit: máte v nouz. režimu přístup k rootovi ??

[kejml]

a co to vypisuje, když systém normálně spustíte? zkoušel jste příkaz startx?? a proč sem třeba nehodíte ke stažení ten auth.log?
takhle bez informacím můžem věštit z koule 

Ave.. navic cela historka nasledne popisovane obstrukce mi spis pripadaji, ze autor nechal zavrenou ve svem detskem pokoji kocku kdyz sel do skoly a ta se zatim seznamovala s klavesnici u zapnuteho pocitace ::

(ps. tohle se mi stalo!!)

:: podpor necim sva tvrzeni. ja se taky nechvastam, ze me uneslo UFO a delali se mnou pokusy na sve lodi ..

Kéž bych mohl jít někdy do školy ... no ne, ale vážně ... to jsem nějak nepochopil ... proč bych to asi tak jako jinak tvrdil, kdyby to nebyla pravda ? To nějak nepobírám - sorry. Jako že bych byl borec největší, že mě někdo prolomil ochranu na serveru nebo tak něco jo ? Za to se spíš neskutečně stydím, než že bych s tím nějak chtěl machrovat ...

Napiš co sem mám dát a z čeho to půjde poznat a já to sem dám - teď už mi stejně o nic nejde ...

[Firzen]

dejte sem ten /var/log/auth.log, pak dál sem zkuste dát co vypíše příkaz "cut -f1 -d: /etc/passwd |sort".  A co ten root?? máte k němu přístup?

[nettezzaumana]

potvrzeni od notare, ze pristupy dle casu ve Tvem auth.log jsi nemohl spachat ty

4 diwoczaak, Merlin >>

vy se smejete chlapci, ale ja kdyz kocce koupim granule co ji nechutnaj, tak se jich naschval nacpe co to jde a potom mi ostentativne pobleje boty (to neni vtip a mohu to dolozit.. )

[Petr Merlin Vaněček]

Netz: pokud jsou to jen boty (z vnejsku), tak je to dobre. Znal jsem kocoura, co zakerne zvracel jen a pouze DO bot a to tak, ze to clovek nezjistil, dokud botu nenazul ...

[nettezzaumana]

Netz: pokud jsou to jen boty (z vnejsku), tak je to dobre. Znal jsem kocoura, co zakerne zvracel jen a pouze DO bot a to tak, ze to clovek nezjistil, dokud botu nenazul ...

no, ja tomu verim. moje seredna kocka dovnitr nezvraci, ale ma v tom system, pac bleje na ne zepredu a je videt, ze vi co dela..

[Petr Merlin Vaněček]

On tam vzdycky narval hlavu co to slo, pak clovek jen videl vztyceny klepajici se ocas, najezeny hrbet a slysel pridusene neprilis pekne zvuky Ale to uz je hodne OT

[kejml]

dejte sem ten /var/log/auth.log, pak dál sem zkuste dát co vypíše příkaz "cut -f1 -d: /etc/passwd |sort".  A co ten root?? máte k němu přístup?

Ano, v nouzovém režimu jsem měl přístup k rootu. První co jsem udělal, tak mu pro jistotu změnil heslo.Pak jsem tady
na wiki našel postup jak si přidat práva roota k mému uživateli, tak jsem si je přidal a toho roota zablokoval...
OK, ten log sem večer dám spolu s tím výpisem.

[kejml]

On tam vzdycky narval hlavu co to slo, pak clovek jen videl vztyceny klepajici se ocas, najezeny hrbet a slysel pridusene neprilis pekne zvuky Ale to uz je hodne OT

To je podle mě tím, že kočka si nemůže, jako člověk, strčit prst do krku, aby tomu pomohla ven ... no a tak strčila hlavu do boty, zhluba se nadechla nosem a je to venku ... 

[Petr Merlin Vaněček]

On tam vzdycky narval hlavu co to slo, pak clovek jen videl vztyceny klepajici se ocas, najezeny hrbet a slysel pridusene neprilis pekne zvuky Ale to uz je hodne OT

To je podle mě tím, že kočka si nemůže, jako člověk, strčit prst do krku, aby tomu pomohla ven ... no a tak strčila hlavu do boty, zhluba se nadechla nosem a je to venku ... 

Ted bych se asi mel urazit ...

[Kenji]

Nečetl jsem to celé, ale proč si myslíte, že pomůže projít ty logy? Já dělám na Lineage serveru a kdybych udělal něco jako třeba supportování vlastní postavy, tak logy by bylo to první, co bych pozměnil tak, aby ke mně nikdo nenašel cestu.

[Petr Merlin Vaněček]

Nečetl jsem to celé, ale proč si myslíte, že pomůže projít ty logy? Já dělám na Lineage serveru a kdybych udělal něco jako třeba supportování vlastní postavy, tak logy by bylo to první, co bych pozměnil tak, aby ke mně nikdo nenašel cestu.

Take jsem psal, ze pokud tam nekdo byl a neuklidil po sobe ... Je to spise zvedavost, ten stroj jde stejne na reinstall a pokud nekdo (predpokladame-li, ze to byl nekdo) naprosto s gracii dovolil vytvorit v home adresar FTP ... je otazkou, zda tedy po sobe uklizel.

Mimochodem, docela by mne zajimala ta mailova adresa, co kejml psal, ze byla v souboru welcome.msg ... treba se ukaze, ze to je autor toho experimentalniho FTP serveru

[Firzen]

Nečetl jsem to celé, ale proč si myslíte, že pomůže projít ty logy? Já dělám na Lineage serveru a kdybych udělal něco jako třeba supportování vlastní postavy, tak logy by bylo to první, co bych pozměnil tak, aby ke mně nikdo nenašel cestu.

heh.. hehehe    to jo, ale to by vám nepomohlo... zaznamenávají se i odchody uživatele(tzn. když se odhlásí), takže v logu přístup být musí. 

[Petr Merlin Vaněček]

Nečetl jsem to celé, ale proč si myslíte, že pomůže projít ty logy? Já dělám na Lineage serveru a kdybych udělal něco jako třeba supportování vlastní postavy, tak logy by bylo to první, co bych pozměnil tak, aby ke mně nikdo nenašel cestu.

heh.. hehehe    to jo, ale to by vám nepomohlo... zaznamenávají se i odchody uživatele(tzn. když se odhlásí), takže v logu přístup být musí. 

Tak tedy nevim jak Vam, ale mne sshd odchod (odhlaseni, spadnuti session, timeout, ...) neloguje ...

[edit]
tak kecam, odhlaseni loguje
[/edit]

[Firzen]

v auth.log ne, ale v user.log ano. 
edit: já taky kecám.. loguje se to tak i tak.

[Pavelp]

že mě někdo prolomil ochranu na serveru nebo tak něco jo ? Za to se spíš neskutečně stydím, než že bych s tím nějak chtěl machrovat

Neni za co se stydet, Kdyz nekdo najde diru v systemu a prokousne se do nej nejakym exploitem, zadne zabezpeceni nepomuze, proste je tam. A ne nejak ledajak, je pekne zakotveny a schovany.  Taky mi jednou zkompromitovali gateway a misto studu jsem mel bobky u *censored*, jak zpiva Jarek, aby se to podarilo rychle reinstalovat a nenadelalo to nejakou paseku. Okamzite odstaveni nepripadalo v uvahu, bezelo to nekolik dni nakople. Vzdycky, kdyz jsem upravene soubory odstranil a nahradil "cistymi", za par dni to bylo znovu. Nejaky proces na masine oteviral urcity port, ale nedalo se urcit jaky proces to je. Akorat jsem dokazal nejak zahadne vystopovat, z jakych IP se mi na masinu hlasi a to jeste nevim, jestli to byli oni. Ke konci obdobi uz jsem ty zkompromitovane soubory znal a mazal nazpamet. Takze nejaky stud ani panika neprichazi v uvahu. Chladna hlava a dobre si rozmyslet jak postupovat. Ty rootkity a ostatni lahudky totiz neprogramovali zadni blbci, ale docela obstojne spicky oboru a s nimi muze zapolit jen vyvoleny.
Edit: Menit heslo roota nebo uzivatelu u zkompromitovaneho systemu je zcela pro kocku (leda pro tu, co NTZ chodila po boardu). Jestlize utocnik ma cestu do systemu, DOSTAVA prava roota, on se jako root nehlasi, on proste root je. A tedy muze vsechno.

 

[kejml]

To : Petr 'Merlin' Vaněček :

1.) Omlouvám se - samozřejmě jsem jen tak šprýmoval, abych přišel na jiné myšlenky 
2.) Já jsem ten adresář smazal - idiot ještě včera večer ... :-( Jak jsem byl naštavaný, tak jsem některé věci smáznul

To : Kenji : Jojo, právěže přesně to stejné mě napadlo ...

To : Pavelp : Díky moc za psychickou podporu, pane. Jojo, dokážu si to představit, co je to za peklo zažít to na nějakém stroji
v ostrém provozu...Mě na téhle mašince běží jen jeden můj web a jeden kámošův + asi 2 mailboxy a už i tak jsem z toho na mrtvici.
U mě je to ale taky tím, že se zatím učím a jelikož se v tom až tak neorientuju, tak nevím co si v takové situaci počíst.
Všechno co jsem kdy nastavoval a ladil jsem dělal tak,že jsem měl otevřenou nějakou manpage a nebo nějaký postup nebo dokumentaci z netu a postupně krok za krokem to dělal podle něčeho takového atd. Už sice v něčem mám trošku jasněji, ale sám od sebe toho zatím z hlavy moc neudělám - už jsem ale aspoň ve stádiu, že aspoň vím, kde to hledat, když už to teda neumím.

To : ALL : teď jsem se dostal konečně k tomu, abych to všechno prošel do podrobna a myslím, že jsem našel pár vcelku zajímavých věcí ... např. v logu jde vidět jak se nějakým záhadným způsobem řádek po řádku smazali všichni uživatelé, někde ve /var/usr/lib nebo obdobně jsem našel hromadu souborů k nějakým bittorrent klientům atd. Dokonce jsem našel tuším ve var složku backups, která byla z 19.2. (na milion procent to není má práce) a v ní jsou nějaké installačky bittorrentů plus nějaké skripty, záložní soubory group.bak, passwd.bak , shadow.bak, infodir.bak a podobné věci ...

Možná to bude znít divně, ale mě přišlo, jako by mi to dělal zrovna pod rukama ... nevyznám se v linuxu zatím natolik, abych při běžné práci zjistil, že je na tom připojený současně ještě někdo jiný a třeba jej sestřelil, ale normálně jsem používal sudo a najednou mi to po chvilce nešlo...dívám se do menu - půlka ikon pryč ... otevřu v gnome ten user manager a není tam žádný uživatel, otevřu jej po druhé a je tam root.
Najednou se to začalo chovat nějak divně a tak jsem se po chvilce zjišťování co se děje zkusil přihlásit do jiné konzole a začalo mi to psát špatné heslo ... webmin mi taky přestal fungovat...prvně mi to psalo špatné heslo a potom mě to locknulo...Tak jsem neváhal a jen tak cvičně  to rebootnul a už jsem viděl že je zle ...půlka služeb se nespustila vůbec, chtělo to po mě heslo roota a podobné věci ...

Přikládám ten auth.log a pár screenshotů ...







[attachment deleted by admin]

[kejml]

Obrázek ...

[attachment deleted by admin]

[kejml]

Ještě jeden :


[attachment deleted by admin]

[Petr Merlin Vaněček]

Ty screenshoty by nas urcite take zajimaly Jinak ten log je pekny Vypada to na nejaky script, a myslim, ze to delal ten webmin. Nasel jste v tom logu nejaka jina IPcka nez sva?

Kód: [Vybrat]

Feb 17 22:41:00 server sshd[32418]: Invalid user Kamil from 192.168.1.77
Feb 17 22:41:00 server sshd[32418]: Failed none for invalid user Kamil from 192.168.1.77 port 50053 ssh2
Feb 17 22:42:33 server sshd[32424]: Accepted password for kejml from 192.168.1.77 port 50055 ssh2
Feb 17 22:42:33 server sshd[32428]: pam_unix(ssh:session): session opened for user kejml by (uid=0)
Feb 17 23:07:33 server sudo:    kejml : TTY=pts/1 ; PWD=/etc ; USER=root ; COMMAND=/usr/bin/nano passwd

Toto je predpokladam vase prace?

[kejml]

Jojo, to je moje práce ... ale spíš tohle je víc než zajímavé :

Kód: [Vybrat]

Feb 19 21:17:04 server userdel[8524]: delete user `news'
Feb 19 21:17:04 server userdel[8524]: removed group `news' owned by `news'
Feb 19 21:17:04 server userdel[8529]: delete user `uucp'
Feb 19 21:17:04 server userdel[8529]: removed group `uucp' owned by `uucp'
Feb 19 21:17:05 server userdel[8534]: delete user `proxy'
Feb 19 21:17:05 server userdel[8534]: removed group `proxy' owned by `proxy'
Feb 19 21:17:05 server userdel[8539]: delete user `www-data'
Feb 19 21:17:05 server userdel[8539]: removed group `www-data' owned by `www-data'
Feb 19 21:17:05 server userdel[8544]: delete user `backup'
Feb 19 21:17:05 server userdel[8544]: removed group `backup' owned by `backup'
Feb 19 21:17:05 server userdel[8549]: delete user `list'
Feb 19 21:17:05 server userdel[8549]: removed group `list' owned by `list'
Feb 19 21:17:05 server userdel[8554]: delete user `irc'
Feb 19 21:17:05 server userdel[8554]: removed group `irc' owned by `irc'
Feb 19 21:17:05 server userdel[8559]: delete user `gnats'
Feb 19 21:17:05 server userdel[8559]: removed group `gnats' owned by `gnats'
Feb 19 21:17:05 server userdel[8564]: delete user `nobody'
Feb 19 21:17:05 server userdel[8569]: delete user `dhcp'
Feb 19 21:17:05 server userdel[8569]: removed group `dhcp' owned by `dhcp'
Feb 19 21:17:05 server userdel[8574]: delete user `daemon'
Feb 19 21:17:05 server userdel[8574]: removed group `daemon' owned by `daemon'
Feb 19 21:17:05 server userdel[8579]: delete user `syslog'
Feb 19 21:17:05 server userdel[8579]: removed group `syslog' owned by `syslog'
Feb 19 21:17:06 server userdel[8584]: delete user `klog'
Feb 19 21:17:06 server userdel[8584]: removed group `klog' owned by `klog'
Feb 19 21:17:06 server userdel[8589]: delete user `messagebus'
Feb 19 21:17:06 server userdel[8589]: removed group `messagebus' owned by `messagebus'
Feb 19 21:17:06 server userdel[8594]: delete user `hplip'
Feb 19 21:17:06 server userdel[8594]: delete `hplip' from group `scanner'
Feb 19 21:17:06 server userdel[8594]: delete `hplip' from shadow group `scanner'
Feb 19 21:17:06 server userdel[8599]: delete user `avahi-autoipd'
Feb 19 21:17:06 server userdel[8599]: removed group `avahi-autoipd' owned by `avahi-autoipd'
Feb 19 21:17:06 server userdel[8604]: delete user `avahi'
Feb 19 21:17:06 server userdel[8604]: removed group `avahi' owned by `avahi'
Feb 19 21:17:06 server userdel[8609]: delete user `haldaemon'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from group `cdrom'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from group `floppy'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from group `plugdev'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from group `powerdev'
Feb 19 21:17:06 server userdel[8609]: removed group `haldaemon' owned by `haldaemon'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from shadow group `cdrom'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from shadow group `floppy'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from shadow group `plugdev'
Feb 19 21:17:06 server userdel[8609]: delete `haldaemon' from shadow group `powerdev'
Feb 19 21:17:06 server userdel[8614]: delete user `gdm'
Feb 19 21:17:06 server userdel[8614]: removed group `gdm' owned by `gdm'
Feb 19 21:17:06 server userdel[8624]: delete user `mysql'
Feb 19 21:17:06 server userdel[8624]: removed group `mysql' owned by `mysql'
Feb 19 21:17:06 server userdel[8629]: delete user `bin'
Feb 19 21:17:06 server userdel[8629]: removed group `bin' owned by `bin'
Feb 19 21:17:07 server userdel[8634]: delete user `proftpd'
Feb 19 21:17:07 server userdel[8639]: delete user `ftp'
Feb 19 21:17:07 server userdel[8644]: delete user `userftp'
Feb 19 21:17:07 server userdel[8649]: delete user `hydroizolace'
Feb 19 21:17:07 server userdel[8654]: delete user `sshd'
Feb 19 21:17:07 server userdel[8659]: delete user `sarka.pankova'
Feb 19 21:17:07 server userdel[8664]: delete user `dovecot'
Feb 19 21:17:07 server userdel[8664]: delete `dovecot' from group `mail'
Feb 19 21:17:07 server userdel[8664]: removed group `dovecot' owned by `dovecot'
Feb 19 21:17:07 server userdel[8664]: delete `dovecot' from shadow group `mail'
Feb 19 21:17:07 server userdel[8669]: delete user `info'
Feb 19 21:17:07 server userdel[8674]: delete user `postfix'
Feb 19 21:17:07 server userdel[8674]: removed group `postfix' owned by `postfix'
Feb 19 21:17:07 server userdel[8679]: delete user `sys'
Feb 19 21:17:07 server userdel[8679]: removed group `sys' owned by `sys'
Feb 19 21:17:07 server userdel[8684]: delete user `sync'
Feb 19 21:17:08 server userdel[8689]: delete user `games'
Feb 19 21:17:08 server userdel[8689]: removed group `games' owned by `games'
Feb 19 21:17:08 server userdel[8694]: delete user `man'
Feb 19 21:17:08 server userdel[8694]: removed group `man' owned by `man'
Feb 19 21:17:08 server userdel[8699]: delete user `lp'
Feb 19 21:17:08 server userdel[8699]: removed group `lp' owned by `lp'
Feb 19 21:17:08 server userdel[8704]: delete user `mail'
Feb 19 21:17:08 server userdel[8704]: removed group `mail' owned by `mail'
Feb 19 21:17:08 server groupmod[8706]: change group `floppy' to `news'
Feb 19 21:17:08 server groupmod[8706]: change GID for `news' to 9
Feb 19 21:17:08 server gpasswd[8708]: remove member kejml from group news by root
Feb 19 21:17:08 server groupmod[8710]: change group `tape' to `uucp'
Feb 19 21:17:08 server groupmod[8710]: change GID for `uucp' to 10
Feb 19 21:17:08 server groupmod[8712]: change group `sudo' to `man'
Feb 19 21:17:08 server groupmod[8712]: change GID for `man' to 12
Feb 19 21:17:08 server groupmod[8714]: change group `audio' to `proxy'
Feb 19 21:17:08 server groupmod[8714]: change GID for `proxy' to 13
Feb 19 21:17:08 server gpasswd[8716]: remove member kejml from group proxy by root
Feb 19 21:17:08 server groupmod[8730]: change group `video' to `floppy'
Feb 19 21:17:08 server groupmod[8730]: change GID for `floppy' to 25
Feb 19 21:17:08 server gpasswd[8732]: remove member kejml from group floppy by root
Feb 19 21:17:08 server groupmod[8734]: change group `adm' to `daemon'
Feb 19 21:17:08 server groupmod[8734]: change GID for `daemon' to 1
Feb 19 21:17:08 server gpasswd[8736]: remove member kejml from group daemon by root
Feb 19 21:17:08 server groupmod[8738]: change group `sasl' to `tape'
Feb 19 21:17:08 server groupmod[8738]: change GID for `tape' to 26
Feb 19 21:17:08 server groupmod[8740]: change group `plugdev' to `sudo'
Feb 19 21:17:08 server groupmod[8740]: change GID for `sudo' to 27
Feb 19 21:17:08 server gpasswd[8742]: remove member kejml from group sudo by root
Feb 19 21:17:08 server groupmod[8744]: change group `staff' to `audio'
Feb 19 21:17:08 server groupmod[8744]: change GID for `audio' to 29
Feb 19 21:17:08 server groupmod[8748]: change group `nogroup' to `www-data'
Feb 19 21:17:08 server groupmod[8748]: change GID for `www-data' to 33
Feb 19 21:17:08 server groupmod[8750]: change group `scanner' to `backup'
Feb 19 21:17:08 server groupmod[8750]: change GID for `backup' to 34
Feb 19 21:17:08 server gpasswd[8752]: remove member kejml from group backup by root
Feb 19 21:17:08 server groupmod[8756]: change group `fuse' to `list'
Feb 19 21:17:08 server groupmod[8756]: change GID for `list' to 38
Feb 19 21:17:08 server groupmod[8758]: change group `ssl-cert' to `irc'
Feb 19 21:17:08 server groupmod[8758]: change GID for `irc' to 39
Feb 19 21:17:08 server groupmod[8764]: change group `tty' to `bin'
Feb 19 21:17:08 server groupmod[8764]: change GID for `bin' to 2
Feb 19 21:17:08 server groupmod[8766]: change group `admin' to `gnats'
Feb 19 21:17:08 server groupmod[8766]: change GID for `gnats' to 41
Feb 19 21:17:08 server gpasswd[8768]: remove member kejml from group gnats by root
Feb 19 21:17:08 server groupmod[8774]: change group `netdev' to `video'
Feb 19 21:17:08 server groupmod[8774]: change GID for `video' to 44
Feb 19 21:17:08 server gpasswd[8776]: remove member kejml from group video by root
Feb 19 21:17:08 server groupmod[8778]: change group `powerdev' to `sasl'
Feb 19 21:17:08 server groupmod[8778]: change GID for `sasl' to 45
Feb 19 21:17:08 server gpasswd[8780]: remove member kejml from group sasl by root
Feb 19 21:17:08 server groupmod[8782]: change group `slocate' to `plugdev'
Feb 19 21:17:08 server groupmod[8782]: change GID for `plugdev' to 46
Feb 19 21:17:08 server groupmod[8784]: change group `kejml' to `staff'
Feb 19 21:17:08 server groupmod[8784]: change GID for `staff' to 50
Feb 19 21:17:08 server groupmod[8786]: change group `userftp' to `games'
Feb 19 21:17:08 server groupmod[8786]: change GID for `games' to 60
Feb 19 21:17:09 server groupadd[8791]: new group: name=nogroup, GID=65534
Feb 19 21:17:09 server groupmod[8793]: change group `disk' to `sys'
Feb 19 21:17:09 server groupmod[8793]: change GID for `sys' to 3
Feb 19 21:17:09 server groupadd[8796]: new group: name=dhcp, GID=101
Feb 19 21:17:09 server groupadd[8799]: new group: name=syslog, GID=102
Feb 19 21:17:09 server groupadd[8802]: new group: name=klog, GID=103
Feb 19 21:17:09 server groupadd[8805]: new group: name=scanner, GID=104
Feb 19 21:17:09 server groupadd[8810]: new group: name=fuse, GID=106
Feb 19 21:17:09 server groupadd[8813]: new group: name=ssl-cert, GID=107
Feb 19 21:17:09 server groupadd[8818]: new group: name=messagebus, GID=109
Feb 19 21:17:09 server groupadd[8821]: new group: name=admin, GID=110
Feb 19 21:17:09 server groupmod[8823]: change group `kmem' to `adm'
Feb 19 21:17:09 server groupmod[8823]: change GID for `adm' to 4
Feb 19 21:17:09 server groupadd[8830]: new group: name=avahi-autoipd, GID=113
Feb 19 21:17:09 server groupadd[8833]: new group: name=avahi, GID=114
Feb 19 21:17:09 server groupadd[8836]: new group: name=netdev, GID=115
Feb 19 21:17:09 server groupadd[8839]: new group: name=haldaemon, GID=116
Feb 19 21:17:10 server groupadd[8842]: new group: name=powerdev, GID=117
Feb 19 21:17:10 server groupadd[8845]: new group: name=gdm, GID=118
Feb 19 21:17:10 server groupadd[8848]: new group: name=slocate, GID=119
Feb 19 21:17:10 server groupadd[8851]: new group: name=kejml, GID=1000
Feb 19 21:17:10 server groupmod[8853]: change group `dialout' to `tty'
Feb 19 21:17:10 server groupmod[8853]: change GID for `tty' to 5
Feb 19 21:17:10 server gpasswd[8855]: remove member kejml from group tty by root
Feb 19 21:17:10 server groupadd[8858]: new group: name=mysql, GID=120
Feb 19 21:17:10 server groupadd[8861]: new group: name=userftp, GID=1001
Feb 19 21:17:10 server groupadd[8864]: new group: name=postfix, GID=121
Feb 19 21:17:10 server groupadd[8867]: new group: name=dovecot, GID=123
Feb 19 21:17:10 server groupmod[8871]: change group `fax' to `disk'
Feb 19 21:17:10 server groupmod[8871]: change GID for `disk' to 6
Feb 19 21:17:10 server groupmod[8873]: change group `voice' to `lp'
Feb 19 21:17:10 server groupmod[8873]: change GID for `lp' to 7
Feb 19 21:17:10 server groupmod[8875]: change group `cdrom' to `mail'
Feb 19 21:17:10 server groupmod[8875]: change GID for `mail' to 8
Feb 19 21:17:10 server gpasswd[8877]: remove member kejml from group mail by root

[Petr Merlin Vaněček]

No to se vsechno delo prakticky v 1 sekunde tj. byl to nejak script ... a mam dojem, ze spis nez hacker/cracker to byl webmin
A neprejte si vedet, co mam ja ve /var/backups a jak mi nautilus identifikuje kernel v /boot

[Pavelp]

v auth.log ne, ale v user.log ano. 
edit: já taky kecám.. loguje se to tak i tak.

Na skutecne zkompromitovaanem systemu se NELOGUJE to, co by mohlo ukazat na utocnika, je pozmeneny klogd, syslogd a vse okolo.