Podozrenie z utoku 2 ADD
Pavel Palat
pavel.palat na atlas.cz
Středa Srpen 23 22:37:48 CEST 2000
-----BEGIN PGP SIGNED MESSAGE-----
Hash: RIPEMD160
Pro testovani bezpecnosti stroje neni spatny nessus
(http://www.nessus.org). Testuje pocitac na vyskyt slusneho poctu
bezpecnostnich der.
Z toho, co pisete, se tezko da usoudit, jakym zkusobem byl utok proveden,
navic jste nenapsal, co jste mel spusteneho.
Pavel Palat
On Wed, 23 Aug 2000, Willi Gruber wrote:
> Tak si taky k tomu neco povim. Nedavno nesla na jedne masine Samba.
> Rikam si proc a hle:
>
> - /etc/messages - nic, krome casovych znacek -- MARK --
> (taky proto, ze masina skoro nic nedelala a nebylo spusteno skoro nic,
> az na....., ale o tom dale)
> - /etc/lastlog - 0 bytes
> - /etc/secure - 0 bytes
> - /etc/utmp - 0 bytes
> - /etc/xferlog - 0 bytes
>
> Aha, je to jasne. Tak se podivame dal...
>
> find / -name "..." -print
>
> ... v /dev je nejaky adr., tedy /dev/.../id
>
> soubor 'id' obsahuje radek 'root:m00' (hezky!!!!!!)
>
> ... v /dev pribyl take adr., tedy /dev/ttyyy a zde je
> soubor inetd.conf (0 bytes) a adr. 'bnc', tedy /dev/ttyyy/bnc, kde
> je soubor bnc.conf ve ktere jsou tyto radky:
>
> pt:27686
> ps:s3ct0r
> mu:0
> dp:6667
>
> Jinak soubor /etc/inetd.conf je rovnez prazdny. Take pribyly dva stejne
> radky
> do /etc/rc.d/rc.local, a to:
>
> /usr/sbin/in.identd -s
>
>
> netstat ukazuje, ze je spojeni (asi 7x) na nasem portu 9704/tcp na
> remote addr. 141.223.44.9 (porty kolem 4848-4855).
>
> fuser 9704/tcp - ukazuje 9 procesu, ktere pouzivaji tyto sockety
> ps axwu | grep #procesu - bezici 'sh. -i' pod rootem!!
>
> Tak je to klasika, povedlo se. Na stroj se nebylo mozno prihlasit z
> konzole ani z venku (jiste, chybel login atd.). Zajimalo by mne, zda se
> s timhle nekdo jiz setkal a co je/bylo moznou dirou pro prunik a zda na
> to existuje nejaky nastroj, jak to pripadne otestovat, zda je to ted (po
> preinstalovani a apl. updatu) jeste mozne. Zkratka zahrat si na
> crackera.
> Pro info se jednalo o RH 6.2 bez par poslednich updatu, kernel 2.2.16.
>
> GOOD LUCK!
>
> S pozdravem,
>
> WG
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.2 (GNU/Linux)
Comment: For info see http://www.gnupg.org
Filter: gpg4pine 4.1 (http://azzie.robotics.net)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=Awe5
-----END PGP SIGNATURE-----
Další informace o konferenci Linux