Hackersky utok - lrklogin

Ondrej Suchy ondrej.suchy na parlament.cz
Čtvrtek Listopad 5 11:05:03 CET 1998


> 5) Po procisteni, restartu a obnoveni puvodniho 'login' nejevi tcp.log jiz
> zadne znamky pribyvani - zjevne byl ziven falesnym 'loginem'...

nikoliv. byl ziven snifferem.
musite vzit ten soubor, projit ho a varovat spravce vsech serveru ktere
jsou zde uvedeny.

> 1) Co bych mel jeste zkontrolovat, z ceho bych mohl jeste na co usoudit?

vystrel do tmy: mrknete se do souboru .bash_history v home adresari
dotycneho uzivatele, pak na /.bash_history nebo na /root/.bash_history.
ale pokud to nebyl naprosty amater, tak nic nenajdete.

> 2) Da se urcit, jake diry onen lrklogin vyuzil?

redhat 3.0 rikate? tak to se urcit neda. tam je silene mnozstvi "remote"
i "local" der. tzv. Open System ;-)

> 3) Je hodne snadne, na takto starem a nezabezpecenem systemu, dostat se na
> stroj, byt tam hacker nema zadny account?

ano. na tomto systemu je to HODNE snadne. viz predchozi odpoved.

> podivne; hned vysvetlim - dle nekolika okolnosti (nocni doba, zaznamy v
> predchozich lozich etc.) mam za to, ze tento hacker ma na mem Linuxu zcela
> oficielni account - jedna se (pravdepodobne) o meho kolegu, ktery me takto
> chtel pobavit, zastrasit nebo varovat...tomu by nasvedcovalo i to, ze se
> hacker o nic jineho, nez o odchyt hesel nepokousel a zadnou destruktivni
> cinnost zrejme nevyvijel. (Dotycneho nestastnika kazdopadne zitra hrubou
> silou donutim k priznani o vine ci nevine ;-) ).

zbytecne. na 99% se nejednalo o nej. lrklogin je balik z linux rootkitu.
pochybuju, ze by se vas kolega - pokud se nezajima o bezpecnost nejak
vic - dostal k tomuto programu. pobavit, zastrasit nebo varovat lze
lepsimi zpusoby, nemyslite? zbytecne ho netrapte. netvrdim, ze to nemohl
byt on, ale zpusob jakym je toto provedeno je naprosto bezny u vsech
"externich" utoku.

> s "cistou hlavou". Ovsem to, ze neshadowingova hesla muze mit na svem
> stroji asi jen vul, to mi ani nepiste - toho jsem si jiz vedom ;-)

shadow hesla jsou sice dobra proti lokalnim uzivatelum a proti
jednoduchym diram typu /cgi-bin/phf, ale externi bezpecnost vam
nezajisti, bylo by hrichem si nainstalovat shadow package a myslet si,
ze jste v pohode.

Ondrej

-- 
P.S.: penize nepujcuji

--------------------------------------------------------
Ondrej Suchy
--------------------------------------------------------
ondrej.suchy(a)parlament.cz
http://lide.punknet.cz/volkifan
--------------------------------------------------------


Další informace o konferenci Linux