Utok na imap (long)

[David Šauer]

>>>> "Robert" == Robert Drozda <rob na dod.cz> píše:

    Robert> David Šauer wrote:
    >>
    >> Zdravim vsechny,
    >> videl jsem pomerne podivnou hlasku v logu. Mohl by mi nekdo strucne
    >> vysvetlit, o co se nekdo pokousel a co tim sledoval - osobne bych
    >> odhadl buffer overflow, ale co tim dany clovek sledoval ?
    >>
    >> Feb 26 20:26:28 gate imapd[3421]: System break-in attempt, host=[203.228.89.1]
    >> Feb 26 21:26:28 gate
    >> Feb 26 21:26:28 gate syslogd: Cannot glue message parts together
    >> Feb 26 21:26:28 gate 22>Feb 26 20:26:28 imapd[3421]: AUTHENTICATE ^P^P^P^P^P^P^P


    >>
    >> Imap je imap-4.1.BETA-11 z RH5.1.
    Robert> =====================================
    Robert> A to je ten problem. Pred nekolika mesici byl nas server napaden presne
    Robert> timto zpusobem. (je to buffer overflow attack) utocnik ziskal roota,
    Robert> nainstaloval backdoor a "opatchoval" mi nekolik programu vcetne ps a ls.

Hm, zajimave. ps a ls bylo zmeneno. Mimo to take top, in.fingerd,
named a mozna i jine(ted presne nevim), nicmene rpm -Va vsechno
prozradilo.

  Vsechny hackovane programy byly prelozeny s libc5, coz vzbudilo na
  RH5.1 podezreni. Zvlastne primitivnim zpusobem byl nasazen trapdoor
  na in.fingerd, ktery spoustel /bin/sh, ale predtim nastavil UID =
  GID = 0.

   Takze jsem upgradoval a preinstalovaval, ale to nejdulezitejsi
   zatim nevim - jak se tam dostal ...

                        nicmene vsem dekuji,

                                David Sauer

--
* David Sauer, student of Czech Technical University
* electronic mail: davids na iol.cz (mime compatible)