Utok na imap (long)
David Šauer
davids na iol.cz
Středa Březen 3 20:27:55 CET 1999
>>>> "Robert" == Robert Drozda <rob na dod.cz> píše:
Robert> David Šauer wrote:
>>
>> Zdravim vsechny,
>> videl jsem pomerne podivnou hlasku v logu. Mohl by mi nekdo strucne
>> vysvetlit, o co se nekdo pokousel a co tim sledoval - osobne bych
>> odhadl buffer overflow, ale co tim dany clovek sledoval ?
>>
>> Feb 26 20:26:28 gate imapd[3421]: System break-in attempt, host=[203.228.89.1]
>> Feb 26 21:26:28 gate
>> Feb 26 21:26:28 gate syslogd: Cannot glue message parts together
>> Feb 26 21:26:28 gate 22>Feb 26 20:26:28 imapd[3421]: AUTHENTICATE ^P^P^P^P^P^P^P
>>
>> Imap je imap-4.1.BETA-11 z RH5.1.
Robert> =====================================
Robert> A to je ten problem. Pred nekolika mesici byl nas server napaden presne
Robert> timto zpusobem. (je to buffer overflow attack) utocnik ziskal roota,
Robert> nainstaloval backdoor a "opatchoval" mi nekolik programu vcetne ps a ls.
Hm, zajimave. ps a ls bylo zmeneno. Mimo to take top, in.fingerd,
named a mozna i jine(ted presne nevim), nicmene rpm -Va vsechno
prozradilo.
Vsechny hackovane programy byly prelozeny s libc5, coz vzbudilo na
RH5.1 podezreni. Zvlastne primitivnim zpusobem byl nasazen trapdoor
na in.fingerd, ktery spoustel /bin/sh, ale predtim nastavil UID =
GID = 0.
Takze jsem upgradoval a preinstalovaval, ale to nejdulezitejsi
zatim nevim - jak se tam dostal ...
nicmene vsem dekuji,
David Sauer
--
* David Sauer, student of Czech Technical University
* electronic mail: davids na iol.cz (mime compatible)
Další informace o konferenci Linux