Nabourany RH 6.2

[Pavel Kankovsky]

On Wed, 2 Jan 2002, Jirka Nováček wrote:

> Dobry den. Behem oslav Noveho roku se mi nekdo naboural na server. Jedna se
> o RedHat 6.2 CZ (poctive jsem tyden co tyden instaloval
> opravy)(ssh-1.2.27-7i, kernel-2.2.19-6.2.12, glibc-2.1.3-23, atd.). V logu
> jsem nasel nize uvedene hlasky. Nejsem z toho moc chytry. Muze mi nekdo
> rict, jakym zpusobem se to dotycnemu povedlo?
...
> Dec 30 12:24:33 linux sshd[25022]: log: Connection from 213.168.207.78 port
> 1975
> Dec 30 12:24:41 linux sshd[25022]: fatal: Local: crc32 compensation attack:
> network attack detected
> .

Viz http://icat.nist.gov/icat.cfm?cvename=CVE-2001-0144

Bohuze nepomaha, ze poctive instalujete opravy, kdyz zrovna na tenhle
problem zadna nebyla (ssh neni v originalnim 6.2 obsazeno a CZ mutace
uz zjevne neni aktivne udrzovana...coz berte jako konstatovani, nikoli
jako vytku vuci jejim tvurcum...i kdyz mozna je na miste otazka, zda
byli na tento fakt uzivatele patricne upozorneni).

> .
> .Dec 30 13:01:02 linux sshd[25254]: log: Connection from 212.171.56.166 port
> 3787
> Dec 30 13:01:02 linux sshd[25254]: log: Could not reverse map address
> 212.171.56.166.
> Dec 30 13:01:05 linux sshd[25254]: log: Unknown group id 516

Je zajimave, ze pocatecni utok byl veden z jine adresy.

> Dec 30 13:39:10 linux kernel: Kernel logging (proc) stopped.
> Dec 30 13:39:10 linux kernel: Kernel log daemon terminating.
> pro 30 13:39:11 linux syslog: klogd shutdown succeeded
> Dec 30 13:39:11 linux exiting on signal 15
> Dec 30 13:39:12 linux syslogd 1.3-3: restart.
> pro 30 13:39:12 linux syslog: syslogd startup succeeded
> pro 30 13:39:12 linux syslog: klogd startup succeeded

To byl asi nejaky blbec, ktery nevedel, ze kdyz chce po sobe odstranit
stopy, tak nestaci restartovat syslogd. :)

(BTW: jestli tam nekde mate ten exploit, co na to byl pouzit, mohl byste
mi ho poslat? <g>)

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."