otazka
Roman Dolejsi
roman na sorry.vse.cz
Pondělí Říjen 7 12:40:14 CEST 1996
On Fri, 4 Oct 1996, Filip Zaludek wrote:
> Date: Fri, 4 Oct 1996 16:39:51 +0200 (MEST)
> From: Filip Zaludek <FILIP na cti.iic.cz>
> Reply-To: linux na muni.cz
> To: Multiple recipients of list <linux na muni.cz>
> Subject: otazka
>
> Existuje nejaky jednoduchy zpusob, jak by se dal ze vsech
> servru v CR smazat adresar /~xkoll04 i s obsahem? :)
>
> Filip Zaludek, filip na cti.cz
>
> P.S.
> Nejlepe na tuto otazku budou umet odpovedet adm.
> sorry.vse.cz.
>
Pokud narazis na mou analyzu napadeni sorryho, tak budiz, priznavam, ze by
asi pro mne v teto situaci nebyl problem nabourat se do VETSINY linuxovych
serveru u nas. Ale nemyslis, ze by to bylo dosti nekamaradske ? To ti tedy
onen uzivatel musel udelat dosti osklivou vec...
Pro nezasvecene: na sorry.vse.cz se nabourali hackeri odnekud (maji pod
palcem v soucasne dobe dost serveru po celem svete, rikaji si SERT (Sirup
Emergency Response Team), vsechny vzkazy jsou ve slovenstine, taktez dost
mnou chycenych utilit je provazeno slovenskymi komentari, zrejme pochazeji
ze Slovenska (to je celkem nabiledni).
Pro vsechny spravce/majitele linuxu:
Vzhledem k tomu, co jsem ziskal, kdyz jsem hackerum odrizl pristup, bych
vas vsechny chtel upozornit:
* zkontrolovat, zda jiz nejsou na serveru aktivni
- nelze pouzit zadnou prave aktivni utilitu jako ps, top, df, netstat...
vse je pozmnenene.. snad jedine pstree, to u mne nechali byt, ale jisty
bych si tim moc nebyl
- zkontrolujte adresar /dev (v nem se vetsinou nachazi adresar s
pracovnimi soubory SERTu)
* urychlene nainstalovat staticky telnetd, login. (proctete CERT:
telnetd_environment_vulnerability)
* vyndat suid flag u vseho, co nebudete jistojiste pouzivat suid. Specielne
jsou to splitvt, dip, rxvt, perl (suid-perl) a dalsi.. (maji v sobe chyby
a i kdyby ne, nikdy nevite, na co hackeri prijdou)
* nainstalovat Shadow_passwd, patchnout Resolver na odbourani nebezpecnych
promennych..
tak, toto bylo mineno pouze jako rady. Pokud to nekoho nezajima, at to
smazne, ale nic mi nepiste. Ani ony hackerske utility nahravat nebudu, to
by na siti zavladla anarchie...
Hodne stesti pri zkoumani systemu
P.S.: nemam zdani, zda v Red Hatu 4.0 jsou uz nektere prave zname chyby
odstraneny, ale v RH 3.0.4 (rembrandt) a v SL96 nikoli (snad az na perl)..
------------------------------------------------- tel: +42 2 793 6766 / 309,310
Roman Dolejsi mail: roman na sorry.vse.cz
UNIX Administrator at VSE/JM, Prague, CZE http://sorry.vse.cz/~roman
-------------------------------------------------------------------------------
Další informace o konferenci Linux