cerv adore

Dan Ohnesorg Dan na feld.cvut.cz
Úterý Únor 26 18:37:47 CET 2002 

Dne Tue, Feb 26, 2002 at 01:00:40PM +0100, Jaroslav Filip napsal:

> Poznal jsem to tak, ze se pri bootovani systemu zobrazuje:
> 
> Usage: /etc/sbin/ava {h,u,r,i,v,U} [file, PID or dummy (for 'U')]
> 
>         h hide file
>         u unhide file
>         r execute as root
>         U uninstall adore
>         i make PID invisible
>         v make PID visible
> 

> Na strankach SANS QIAC - http://www.sans.org/y2k/adore.htm jsem si nasel
> povidani o tomto cervu. No a zda jsem narazil na problem. Pisi tam, ze
> tento cerv napada servery, ktere nemaji zaplatovany bind, wu-ftpd, LPRng
> (u RH7) a rpc statd. Kdyz jsem se podival na odkazy do
> RedHat Errata, tak jsem zjistil, ze tyto zaplaty tam nainstalovane jsou.
> Tak jak se tam ten cerv dostal? Navic tam je odkaz na program adorefind,
> ktery by mel
> toho cerva detekovat a popripade jej odinstalovat. Ale tento program
> mi hlasi, ze tento cerv v systemu neni. Ale ja vim, ze tam je (a nebo
> neco jineho).

Podle popisu se tam dostal nejspise pres buffer overflow v ssh. Asi by
se nasly diry i v pop3 a sendmailu, ale ty by musel
pouzit lokalni uzivatel.

To ze je ten cerv videt ukazuje, ze se mu moc nedarilo. Kdyby sel utok
hladce, tak se zadna hlaska pri startu neobjevi. Takze moznosti jsou dve:

cerv je aktivni a tak se umi skryt a nemuzete jej detekovat - reseni
restartovat system ze zarucene cisteho media (treba instalacni CD, ktere
dava pomerne slusnou sanci, ze je OK) a pokusit se o detekci bez
spusteni cehokoliv z HDD

cerv se nenahral a tak jsou na disku jen fragmenty po utoku, takze
hledac cerva nevidi

Kazdopadne jedine ciste reseni, ktere prinese klidny spanek je
nova instalace a konfigurace bez prejimani souboru z napadeneho systemu.
Nikdy nevite, kde tam je neco zmeneno, zvlaste kdyby se ukazalo,
ze jde o rucni utok a ne o nejaky plosny scan.

zdravim
dan


-- 
                    ________________________________________
DDDDDD             
DD   DD                Dan Ohnesorg, supervisor on POWER     
DD  OOOO               Dan na feld.cvut.cz
DD OODDOO              Dep. of Power Engineering
DDDDDD OO              CTU FEL Prague, Bohemia
   OO  OO              work: +420 2 24352785;+420 2 24972109
    OOOO               home: +420 311 679679;+420 311 679311
                    ________________________________________

Nikdy neni dobry napad navrhovat produkt pro chytre chudaky, ani  pro
chytre bohace. Chytri chudaci prijdou na to jak vas produkt ukrast. 
Chytri bohaci si koupi cely vas podnik a kopnou vas do zadku.

Další informace o konferenci Linux