POZOR! - masivni utoky pomoci scriptu na DNS

Milan Kerslager milan.kerslager na spsselib.hiedu.cz
Pátek Únor 2 08:34:40 CET 2001


Ahoj,

dejte si vsichni pozor na masivni utok vedeny proti posledni dire v DNS
serveru (bind-8.2.2-*). Z informaci, ktere mam, se jedna o napadeni pomoci
pomoci skriptu, ktery systematicky projizdi IP adresy na celem svete a
instaluje backdoory (byly videt pomoci nmapu).

Napadeni se projevuje obvykle tim, ze prestane fungovat DNS server,
pripadne prestane psat do syslogu (zaznamy se slovem named, obvykle ve
/var/log/messages).

V adresari /var/named jsem nasel nejaky rootkit, pruvodnim jevem bylo
nefukcni DNS (rikali mi, ze az po restartu stroje, pry se snazili
restartovat DNS demona i rucne, ale neslo to). V logu se nyni objevuji
obcas zhusta AXFR a jine chybove hlaseni.

Radeji peclive aktualizujte. Pokud mate RH, muzete pouzit nastroj up2date.
Nejprve ho spustte s parametrem --register, ktery zaridi anonymni
registraci (neni potreba vkladat zadne udaje). Pak to osobne delam tak, ze
si vytvorim adresar, prepnu se do nej a necham si stahnout nove balicky
pomoci:

up2date -d -u --tmpdir=.

Potrebne nastroje a balicek up2date najdete treba na adrese:

ftp://ftp.linux.cz/pub/linux/redhat/updates/6.2/i386/
ftp://ftp.linux.cz/pub/linux/redhat/updates/7.0/i386/

Pokud chcete rozbehnout up2date na starim RH (6.x), budete potrebovat
jeste balicky (taky z updatu):

gnupg-*
python-*
openssl-0.*
rpm-*
up2date-*
../noarch/rhn_register-1.*

Aktualizaci lze samozrejme udelt i rucne. pripominam, ze remote exploit
byl nedavno i ve wu-ftpd.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na spsselib.hiedu.cz
                        WWW:    http://www.spsselib.hiedu.cz/~kerslage/






Další informace o konferenci Linux