<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On 3 Jan &nbsp;2008, at 12:22 PM, <a href="mailto:ajos1@onion.demon.co.uk">ajos1@onion.demon.co.uk</a> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Monaco; font-size: 10px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0; ">###########<br>#### Does anyone have a clue how I might be getting hacked???<br>###########<br></span></blockquote></div><br><div>I've seen this on a customer's server before.</div><div><br class="webkit-block-placeholder"></div><div>did snort report any outgoing irc traffic?</div><div><br class="webkit-block-placeholder"></div><div>Close down Sendmail and kill all existing sendmail sessions.</div><div><br></div><div>do a "netstat -an" and see what ports and sessions are currently active.</div><div>chances are, port 6667 (Irc) is running, and probably got in via an insecure user password.</div><div><br class="webkit-block-placeholder"></div><div>chees</div><div>-Mike</div><div><br class="webkit-block-placeholder"></div></body></html>