crack attempt

Leos Bitto bitto na atrey.karlin.mff.cuni.cz
Neděle Duben 26 12:47:51 CEST 1998


On Sat, 25 Apr 1998, Jiri Pavlovsky wrote:

> On 25 Apr 1998 13:29:07 +0200, Tomas Rezek <linux na altamira.asu.cas.cz> wrote:

> >dnes jsem v logu objevil nasledujici:
> >
> >Apr 23 15:02:13 altamira imapd[30221]: warning: can't get client address:
> >Connection reset by peer
> >
> >Apr 23 15:50:29 altamira imapd[30777]: Crack attempt,
> >host=md14-189.mun.compuserve.com
> 
> Zajimave, ze stejne adresy nekdo zkousel pristup na imap i k nam
> 
> tohle bylo ve /var/log/secure:
> 
> Apr 23 15:54:19 mail imapd[5789]: warning: can't get client address: Connection timed out
> Apr 23 15:54:19 mail imapd[5789]: connect from unknown
> .
> .
> .
> Apr 23 16:37:03 mail imapd[5961]: connect from 195.232.39.189
>                                                ^^^^^^^^^^^^^^
>                                                nslookup ukazal, ze adresa nalezi vami uvedenemu
>                                                domenovemu jmenu.
> 
> O co cloveku, ktery to zkousel, slo netusim.
> 

Zato ja to tusim naprosto presne. Taky se mi o jeden server pokousel, a
tohle jsem mel v /var/log/secure ja:

Apr 23 16:46:42 gateway chytak[24773]: warning: can't get client address:
                                                      Connection timed out
Apr 23 16:46:42 gateway chytak[24773]: connect from unknown
Apr 23 17:16:43 gateway chytak[26824]: connect from 195.232.39.189
Apr 23 18:09:51 gateway chytak[28951]: connect from 195.232.39.189
Apr 23 18:11:30 gateway chytak[28963]: connect from 195.232.39.189

no... jak vidite nebezi mi na portu 143 imapd ale script jmenem chytak,
protoze me kdysi zajimalo co lidi na tom imapu tak fascinuje - mel jsem ho
pomoci ipfwadm -o zakazany a videl jsem ze to kazdou chvili nekdo zkousi.
Tak jsem ten port povolil a pustil tam svuj script, ktery se predstavi
jako imap server a pak zaznamena co mu druha strana posila. Takze presne
vim ze se ten clovek pokousel zneuzit diru ve starsich verzich imapd,
ktera umoznuje ziskat na danem pocitaci rootovska prava. U me se pokousel
vykonavat tyto prikazy: whoami, ls, w. Takze to byl jeden z tech
slusnejsich. ;-) Uz jsem nachytal i cloveka co rovnou chtel delat tohle:
echo neco >> /etc/passwd; cp /bin/sh /tmp/neco; chmod 4755 /tmp/neco. 

Takze o co se pravdepodobne jedna tentokrat: nekdo projizdi cele bloky IP
adres a hleda servery se starym imapd, aby je mohl hacknout.

Mozna vam to pripada jako neco hrozneho, ale musite se smirit s tim ze na
Internetu se takovehle veci deji, a to celkem pravidelne. Tam kde mi bezi
ten chytak jsou to tak dva, tri nezavisle pokusy tydne. Uz s tim ani nic
nedelam, protoze to pravidelne prichazi bud od nejakeho modemisty, nebo od
serveru na kterem take bezi zranitelny imapd - tedy z serveru ktery je
velice pravdepodobne taky hacknuty. Tentokrat (IP adresa 195.232.39.189)
se jednalo o modem. A navic - honte si cloveka na druhe pulce zemekoule...

Nejlepsi co muzete udelat je si svuj server zabezpecit a pokud mozno
nainstalovat nejaky firewall. Je az s podivem kolik existuje firem ktere
jsou vam schopne dodat "komplexni reseni pripojeni na Internet", nauctovat
si za to nehorazne penize a vysledek je celkem zalostny. :-(



Leos Bitto



Další informace o konferenci Linux