(zatim) nekrvavy lov

Tibor Pittich Tibor.Pittich na phuture.sk
Pátek Říjen 9 09:26:57 CEST 1998 

Dna Thu, 08 Oct 1998 ste napisali:
Zdravim

>Hacker postupoval rovnez standardne.
>Nevim zatim jak (jeste jsem system detailne neprohledl), ale po 
>pruniku hacker ziskal prava supervisora.
to by sa zislo zistit ako prve...

>Zajimave je, jaka si hacker nechal zadni vratka (velka jako 
>vrata od stodoly).
>Do /usr/sbin nainstaloval soubor in.inetd (asi aby to v `ps ax` vypadalo
>na prvni pohled normalne). V tomto souboru (stripovany ELF) byl ale 
>upraveny 'BSD rexecd ver 2.8, Apr. 16, 1996', ktery s volbou '-s'
>naskocil na TCP port 510, kde poslouchal a ocekaval prikazy sveho 
>pana (Mr. Hacker). Vsechny prikazy (predavane po TCP, ne UDP jak je
>u r* zvykem) provadel pod root uid.
bezny backdoor, pre zaujimavost pouzivali ho vo velkom aj pani od Czert-ov:-)

>Zaroven hacker 'upravil' (mimo jine) soubory /bin/ls a /bin/ps.
>Nejhezci je /bin/ls: funguje normalne, ale nevypisuje soubor in.inetd.
>V prvni chvili jsem myslel, ze hacker vyuzil chyby v ext2 filesystemu
>(viz exploity), takze urcite soubory proste nejsou videt (nemaji
>i-node). 
>Ale bylo to jednodussi - proste filtruje vsechny nazvy souboru a nektere
>vynechava. Pekne na tom je, ze v binarce upraveneho 'ls' se string
>'in.inetd' nikde nevyskytuje - je nejak zakodovany (mozna je jenom 
>binarne negovany, dal jsem to nezkoumal).
>Podobne je na tom /bin/ps - nevypisuje proces 'in.inetd'.
co takto sa pozret do adresara /dev/ptyp po suboroch ktore niesu viditelne v
ps, a /dev/ptyr po suboroch ktore nevyspisuje ls (inak existuje "spec" option
ls -\, ktora da skutocny vypis adresara).. v podstate sa jedna o klasicky linux
rootkit, aj s backdoorom via inetd.

>Skoda ze hacker neupravil take napr. find, netstat a podobne.
urcite??;)

Zelam "prijemne" nahananie, je to celkom zaujimava cinnost:-)
--
Tibor Pittich 
Email	 : Tibor.Pittich na phuture.sk
IRC	 : IRCnet (server irc.wu-wien.ac.at)
Nick	 : FuturE
HomePage : http://www.phuture.sk/future
--------------------------> píšte mi v ISO-8859-2 <-------------------------
/topic #linux
what is root-access, and can I install it on my isp? is there an rpm for it?

Další informace o konferenci Linux