utok pres ssh

Středa Leden 16 10:41:30 CET 2002

> Z ruznych indicii mi vychazi, ze existuje jeste dalsi chyba, o ktere se
> vseobecne nevi...:-( (snad neni obsazena v novejsich verzich...)

Uz to tak vypada. Jeden takovy "rootkit" zustal u jednoho meho zakaznika na
PC a jsou tam presne vyjmenovany tri verze ssh na ktere je utok veden. Krom
jine si u RudehoMoru pridaji na konec rc.sysconfig volani /usr/sbin/hdparm
jez je pouze prostredkem pro spusteni vlastni verze sshd (v ps jako sshdu)
na portu 6 a spusteni linsniffu. hdparm je jejich vlastni script a ne
stejnojmenny uzitecny program. Pro ty jimz snad nepujde smazat a
modifikovat: "chattr -i hdparm" by melo pomoci ;-)
Tolik asi analyza co a kde a jak. Vrele doporucuji prejit na OpenSSH 3.0.2p1
ci novejsi Vyplati se.

S pozdravem
                              Robi

Robert Hanzlik
JUNyKS server/servis
http://www.junyks.cz
e-mail: robi_na_junyks.cz
tel: +420-602-x8x0x2
ICQ: 4742118