(zatim) nekrvavy lov

Pátek Říjen 9 14:20:15 CEST 1998

Ondrej Suchy wrote:
> 
> > tomu nerozumim - /dev/ptyp? jsou ovladace
> 
> trojske kone ls a ps z dilny CzERTu pouzivaji /dev/pty<neco> jako
> defaultni konfiguracni soubor, kde je specifikovano jake soubory/procesy
> nemaji byt videt. staci si vypsat regular files z adresare /dev/, 
                                    ^^^^^^^^^^^^^
Jasne. To bylo prvni, co jsem zjistoval pri zmince (z konference)
o /dev/pty. Obaval jsem se, zda v tom neni neco slozitejsiho, napr.
chyba v pravech atd.

> samozrejme mohl hacker pri kompilaci zmenit cestu k tomuto config
> souboru, stringem z binarky ji nevytahnete, je to schovane. doporucuji
                        ^^^^^^^^^^^^^^^^^^^^
               to jsem psal uz v tom prvnim mailu. 

Globalni find/grep pres cely disk na 'inetd' jsem udelal jako
prvni vec. Problem je v tom, za sikovny hacker si asi udela konfigurak
rovnez binarni a konfiguraci si nejak zakoduje (napr. invertuje
bity stringu, to uplne staci a ve zdrojaku jsou to dva radky).

Hlavni ovsem je, ze ackoliv hacker zmenil logy, tak na hlavni logovaci
soubor se nedostal (upravenym syslogem se to vypisuje na seriovy
port a pres viceportovou kartu se to uklada do jednoho pocitace, ktery
neni vubec na siti a loguje vsechny servery).

Zjistil jsem, ze do masiny se hacker dostal chybou ve starem BIND
(jak psal take Michal Hucik).

Dekuji vsem za odpovedi.