otazka

Roman Dolejsi roman na sorry.vse.cz
Pondělí Říjen 7 12:40:14 CEST 1996


On Fri, 4 Oct 1996, Filip Zaludek wrote:

> Date: Fri, 4 Oct 1996 16:39:51 +0200 (MEST)
> From: Filip Zaludek <FILIP na cti.iic.cz>
> Reply-To: linux na muni.cz
> To: Multiple recipients of list <linux na muni.cz>
> Subject: otazka
> 
> Existuje nejaky jednoduchy zpusob, jak by se dal ze vsech
> servru v CR smazat adresar /~xkoll04 i s obsahem? :)
> 
>  Filip Zaludek, filip na cti.cz
> 
> P.S.
> Nejlepe na tuto otazku budou umet odpovedet adm. 
> sorry.vse.cz.
> 

Pokud narazis na mou analyzu napadeni sorryho, tak budiz, priznavam, ze by
asi pro mne v teto situaci nebyl problem nabourat se do VETSINY linuxovych
serveru u nas. Ale nemyslis, ze by to bylo dosti nekamaradske ? To ti tedy
onen uzivatel musel udelat dosti osklivou vec...

Pro nezasvecene: na sorry.vse.cz se nabourali hackeri odnekud (maji pod
palcem v soucasne dobe dost serveru po celem svete, rikaji si SERT (Sirup
Emergency Response Team), vsechny vzkazy jsou ve slovenstine, taktez dost
mnou chycenych utilit je provazeno slovenskymi komentari, zrejme pochazeji
ze Slovenska (to je celkem nabiledni).

Pro vsechny spravce/majitele linuxu:
Vzhledem k tomu, co jsem ziskal, kdyz jsem hackerum odrizl pristup, bych
vas vsechny chtel upozornit:

* zkontrolovat, zda jiz nejsou na serveru aktivni
  - nelze pouzit zadnou prave aktivni utilitu jako ps, top, df, netstat...
    vse je pozmnenene.. snad jedine pstree, to u mne nechali byt, ale jisty
    bych si tim moc nebyl
  - zkontrolujte adresar /dev (v nem se vetsinou nachazi adresar s
    pracovnimi soubory SERTu)
* urychlene nainstalovat staticky telnetd, login. (proctete CERT:
  telnetd_environment_vulnerability)
* vyndat suid flag u vseho, co nebudete jistojiste pouzivat suid. Specielne
  jsou to splitvt, dip, rxvt, perl (suid-perl) a dalsi.. (maji v sobe chyby
  a i kdyby ne, nikdy nevite, na co hackeri prijdou)
* nainstalovat Shadow_passwd, patchnout Resolver na odbourani nebezpecnych
  promennych..

tak, toto bylo mineno pouze jako rady. Pokud to nekoho nezajima, at to
smazne, ale nic mi nepiste. Ani ony hackerske utility nahravat nebudu, to
by na siti zavladla anarchie...

Hodne stesti pri zkoumani systemu

P.S.: nemam zdani, zda v Red Hatu 4.0 jsou uz nektere prave zname chyby
odstraneny, ale v RH 3.0.4 (rembrandt) a v SL96 nikoli (snad az na perl)..

------------------------------------------------- tel: +42 2 793 6766 / 309,310
Roman Dolejsi                                          mail: roman na sorry.vse.cz
UNIX Administrator at VSE/JM, Prague, CZE            http://sorry.vse.cz/~roman
-------------------------------------------------------------------------------



Další informace o konferenci Linux