Utok na imap (long)
Dan Ohnesorg, admin of POWER
dan na feld.cvut.cz
Středa Březen 3 22:36:20 CET 1999
On 3 Mar 99, at 19:35, Ing. Tomas Drajsajtl wrote:
> > : > Imap je imap-4.1.BETA-11 z RH5.1.
> Opravdu ? S timto Imapem mi jeden server BYL napaden.
Pred nekolika mesici jsem se ptal na napadeni jednoho meho serveru
hackem kakasnif, ktery podle mych zjisteni sel pres imapd, ale
pokousel se tesne predtim i o nfs a bind. Na tom stroji sice byl
redhat 5.1, ale protoze jsem neco o problemech s imapd vedel, mel
jsem tam nejakou cerstvejsi verzi, kterou jsem si sam prelozil ze
zdrojaku, ale konkretnim cislem jiz neposlouzim. Kazdopadne se
jednalo o plosny utok, kdy byly scanovany vsechny IP adresy jedna po
druhe, proto take castecne vim, co delal, protoze na jinych strojich
nebezela zadna napadnutelna sluzba, jen tam zustal zaznam v logu.
Dokonce jsem zpetne ziskal jejich script, kterym utok provedli a
jednalo se o nekolik ruznych programu pochazejicich z hlasek o
bezpecnostnich dirach na rootshell nebo tak podobne.
Velice se mi pri hledani cizich demonu vyplatil kim, ktery zobrazoval
i to, co ps nevidelo (nechtelo videt). Zmodifikovano bylo ledacos a
naprosto vylucuji, ze bych si utoku nevsiml, ze je masina v prusvihu
bylo videt okamzite po nalogovani, nebezel syslogd, sitovy karty byly
v prmiscuitnim rezimu, zatez site monitorovana mrtg byla
nekolikanasobne vyssi nez normalne.
zdravim
dan
________________________________________
DDDDDD
DD DD Dan Ohnesorg, supervisor on POWER
DD OOOO Dan na feld.cvut.cz
DD OODDOO Dep. of Power Engineering
DDDDDD OO CTU FEL Prague, Bohemia
OO OO work: +420 2 24352785;+420 2 24972109
OOOO home: +420 311 679679;+420 311 679311
________________________________________
Pesimista vidi v ementalskem syru jen ty diry.
Další informace o konferenci Linux