POZOR! - masivni utoky pomoci scriptu na DNS
Milan Kerslager
milan.kerslager na spsselib.hiedu.cz
Pátek Únor 2 08:34:40 CET 2001
Ahoj,
dejte si vsichni pozor na masivni utok vedeny proti posledni dire v DNS
serveru (bind-8.2.2-*). Z informaci, ktere mam, se jedna o napadeni pomoci
pomoci skriptu, ktery systematicky projizdi IP adresy na celem svete a
instaluje backdoory (byly videt pomoci nmapu).
Napadeni se projevuje obvykle tim, ze prestane fungovat DNS server,
pripadne prestane psat do syslogu (zaznamy se slovem named, obvykle ve
/var/log/messages).
V adresari /var/named jsem nasel nejaky rootkit, pruvodnim jevem bylo
nefukcni DNS (rikali mi, ze az po restartu stroje, pry se snazili
restartovat DNS demona i rucne, ale neslo to). V logu se nyni objevuji
obcas zhusta AXFR a jine chybove hlaseni.
Radeji peclive aktualizujte. Pokud mate RH, muzete pouzit nastroj up2date.
Nejprve ho spustte s parametrem --register, ktery zaridi anonymni
registraci (neni potreba vkladat zadne udaje). Pak to osobne delam tak, ze
si vytvorim adresar, prepnu se do nej a necham si stahnout nove balicky
pomoci:
up2date -d -u --tmpdir=.
Potrebne nastroje a balicek up2date najdete treba na adrese:
ftp://ftp.linux.cz/pub/linux/redhat/updates/6.2/i386/
ftp://ftp.linux.cz/pub/linux/redhat/updates/7.0/i386/
Pokud chcete rozbehnout up2date na starim RH (6.x), budete potrebovat
jeste balicky (taky z updatu):
gnupg-*
python-*
openssl-0.*
rpm-*
up2date-*
../noarch/rhn_register-1.*
Aktualizaci lze samozrejme udelt i rucne. pripominam, ze remote exploit
byl nedavno i ve wu-ftpd.
--
Milan Kerslager
E-mail: milan.kerslager na spsselib.hiedu.cz
WWW: http://www.spsselib.hiedu.cz/~kerslage/
Další informace o konferenci Linux