Utok na imap (long)

[Dan Ohnesorg, admin of POWER]

On 3 Mar 99, at 19:35, Ing. Tomas Drajsajtl wrote:

> > : > Imap je imap-4.1.BETA-11 z RH5.1.
> Opravdu ? S timto Imapem mi jeden server BYL napaden.

Pred nekolika mesici jsem se ptal na napadeni jednoho meho serveru 
hackem kakasnif, ktery podle mych zjisteni sel pres imapd, ale 
pokousel se tesne predtim i o nfs a bind. Na tom stroji sice byl 
redhat 5.1, ale protoze jsem neco o problemech s imapd vedel, mel 
jsem tam nejakou cerstvejsi verzi, kterou jsem si sam prelozil ze 
zdrojaku, ale konkretnim cislem jiz neposlouzim. Kazdopadne se 
jednalo o plosny utok, kdy byly scanovany vsechny IP adresy jedna po 
druhe, proto take castecne vim, co delal, protoze na jinych strojich 
nebezela zadna napadnutelna sluzba, jen tam zustal zaznam v logu. 
Dokonce jsem zpetne ziskal jejich script, kterym utok provedli a 
jednalo se o nekolik ruznych programu pochazejicich z hlasek o 
bezpecnostnich dirach na rootshell nebo tak podobne.

Velice se mi pri hledani cizich demonu vyplatil kim, ktery zobrazoval 
i to, co ps nevidelo (nechtelo videt). Zmodifikovano bylo ledacos a 
naprosto vylucuji, ze bych si utoku nevsiml, ze je masina v prusvihu 
bylo videt okamzite po nalogovani, nebezel syslogd, sitovy karty byly 
v prmiscuitnim rezimu, zatez site monitorovana mrtg byla 
nekolikanasobne vyssi nez normalne.

zdravim
dan

                    ________________________________________
DDDDDD             
DD   DD                Dan Ohnesorg, supervisor on POWER     
DD  OOOO               Dan na feld.cvut.cz
DD OODDOO              Dep. of Power Engineering
DDDDDD OO              CTU FEL Prague, Bohemia
   OO  OO              work: +420 2 24352785;+420 2 24972109
    OOOO               home: +420 311 679679;+420 311 679311
                    ________________________________________
Pesimista vidi v ementalskem syru jen ty diry.