Hackersky utok - lrklogin
Ondrej Suchy
ondrej.suchy na parlament.cz
Čtvrtek Listopad 5 11:05:03 CET 1998
> 5) Po procisteni, restartu a obnoveni puvodniho 'login' nejevi tcp.log jiz
> zadne znamky pribyvani - zjevne byl ziven falesnym 'loginem'...
nikoliv. byl ziven snifferem.
musite vzit ten soubor, projit ho a varovat spravce vsech serveru ktere
jsou zde uvedeny.
> 1) Co bych mel jeste zkontrolovat, z ceho bych mohl jeste na co usoudit?
vystrel do tmy: mrknete se do souboru .bash_history v home adresari
dotycneho uzivatele, pak na /.bash_history nebo na /root/.bash_history.
ale pokud to nebyl naprosty amater, tak nic nenajdete.
> 2) Da se urcit, jake diry onen lrklogin vyuzil?
redhat 3.0 rikate? tak to se urcit neda. tam je silene mnozstvi "remote"
i "local" der. tzv. Open System ;-)
> 3) Je hodne snadne, na takto starem a nezabezpecenem systemu, dostat se na
> stroj, byt tam hacker nema zadny account?
ano. na tomto systemu je to HODNE snadne. viz predchozi odpoved.
> podivne; hned vysvetlim - dle nekolika okolnosti (nocni doba, zaznamy v
> predchozich lozich etc.) mam za to, ze tento hacker ma na mem Linuxu zcela
> oficielni account - jedna se (pravdepodobne) o meho kolegu, ktery me takto
> chtel pobavit, zastrasit nebo varovat...tomu by nasvedcovalo i to, ze se
> hacker o nic jineho, nez o odchyt hesel nepokousel a zadnou destruktivni
> cinnost zrejme nevyvijel. (Dotycneho nestastnika kazdopadne zitra hrubou
> silou donutim k priznani o vine ci nevine ;-) ).
zbytecne. na 99% se nejednalo o nej. lrklogin je balik z linux rootkitu.
pochybuju, ze by se vas kolega - pokud se nezajima o bezpecnost nejak
vic - dostal k tomuto programu. pobavit, zastrasit nebo varovat lze
lepsimi zpusoby, nemyslite? zbytecne ho netrapte. netvrdim, ze to nemohl
byt on, ale zpusob jakym je toto provedeno je naprosto bezny u vsech
"externich" utoku.
> s "cistou hlavou". Ovsem to, ze neshadowingova hesla muze mit na svem
> stroji asi jen vul, to mi ani nepiste - toho jsem si jiz vedom ;-)
shadow hesla jsou sice dobra proti lokalnim uzivatelum a proti
jednoduchym diram typu /cgi-bin/phf, ale externi bezpecnost vam
nezajisti, bylo by hrichem si nainstalovat shadow package a myslet si,
ze jste v pohode.
Ondrej
--
P.S.: penize nepujcuji
--------------------------------------------------------
Ondrej Suchy
--------------------------------------------------------
ondrej.suchy(a)parlament.cz
http://lide.punknet.cz/volkifan
--------------------------------------------------------
Další informace o konferenci Linux