On 5/24/07, <b class="gmail_sendername">Tom Diehl</b> <<a href="mailto:tdiehl@rogueind.com">tdiehl@rogueind.com</a>> wrote:<div><span class="gmail_quote"></span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
On Thu, 24 May 2007, Dexter Ang wrote:<br><br>> Hi folks,<br>><br>> I'm just wondering what is the recommended way of monitoring servers and<br>> networks remotely. <snip><br><br>You might want to look at hobbit. 
<a href="http://sourceforge.net/projects/hobbitmon/">http://sourceforge.net/projects/hobbitmon/</a><br><br>I find it much easier to manage than nagios. Besides the UI looks nicer. :-)</blockquote><div><br>Thanks! I'll look into this. 
<br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">><br>> The problem is that leaving cacti open was the most stupid thing I've done.
<br>> After checking /var/log/httpd/error_log, I saw that someone exploited a<br>> cacti php file and the result was:<br>><br>> --08:13:11--  <a href="http://psaico.host.sk/desk.pl">http://psaico.host.sk/desk.pl
</a><br>>          => `/tmp/desk.pl'<br>> Resolving psaico.host.sk... <a href="http://62.168.109.150">62.168.109.150</a><br>> Connecting to psaico.host.sk|62.168.109.150|:80... connected.<br>> HTTP request sent, awaiting response... 200 OK
<br>> Length: 20,144 (20K) [text/x-perl]<br>><br>>   0K .......... .........                                  100%   28.26KB/s<br>><br>> 08:13:13 (28.26 KB/s) - `/tmp/desk.pl' saved [20144/20144]<br>>
<br>> which immediately downloaded ShellBOT to /tmp and executed it. It was a good<br>> thing I caught this as early as I did. So, what's everyone elses solution<br>> these days? Or is it simply a matter of creating a /tmp partition and
<br>> mounting it noexec?<br>><br>> On a side note... anyone with experience with ShellBOT? From research, it<br>> seems to attempt to connect to an IRC server upon running. So if my outgoing<br>> connections are secured by iptables, can I assume it never got connected at
<br>> all? I'll probably try this out someday but just looking for a quick<br>> experienced answer.<br><br>It does not matter if they connected or not. The bottom line the machine was<br>hacked and someting got installed that does not belong there. There is no way
<br>at this point to be sure that they did not install something else or modify<br>binaries to hide their tracks.<br><br>So now the only to be sure there is not something in that machine is to reload<br>it. Anything less and you will never know for sure.
</blockquote><div><br>Wise words. This will definitely be my next step ASAP.<br></div><br>dex</div><br>