utok pres ssh

Středa Leden 16 14:03:37 CET 2002

sprave1.epo na mail.cez.cz wrote:

>>On Wed, 16 Jan 2002, Ing. Pavel PaJaSoft Janousek wrote:
>> Robert Hanzlik wrote:
>> > Tolik asi analyza co a kde a jak. Vrele doporucuji prejit na OpenSSH
> 3.0.2p1
>> > ci novejsi Vyplati se.
>>
>>       Rozhodne, nebo aspon na 2.9.9p2, ktera se oproti 3.0.2 lisi v
> chybe ve
>> volbe UseLogin (defaultne nepovoleny), bohuzel zadna verze 3.X neni
>> kompilovana proti RH rady 6. (GlibC 2.1), k dispozici jsou pouze verze
>> pro RH 7.X, tudiz spousta routeru ma docela smulu - nechtel by nekdo
>> balicky (RPM) vyrobit a nabidnout?
> 
> Na teto adrese je SRPM balik.
> 
> 
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/rpm/SRPMS/openssh-3.0.2p1-1.src.rpm
> 
> Na mem RH6.2CZ lze vytvorit RPM balik normalne pomoci
> 
> rpm --rebuild openssh-3.0.2p1-1.src.rpm
> 
>

Vrele doporucuji dukladne prohledat vsechny stroje, u kterych mate 
podezreni na napadeni.

Clanek je na http://underground.cz/756

 Jeden tu zrovna pitvam. Vysledky jsou tyto:

1) Nas spravce se jezi uz pri vysloveni "mama, tata" (tak se jmenovaly 
procesy, ktere nam tam susenka spustil). 
2) Upravil syslog (dobry :, zrejme mu posilal logy na nejakou adresu)
3) Dovnitr se dostal tak, ze zlomil sshd 1.5 (cislo verze uz z hlavy nevim, 
ale priblizne toto). Pak tam nainstalil nejakeho demona (zatim neni hotova 
pitva), pockal si na uzivatele a odposlechl jeho heslo. Skrze tohoto 
uzivatele pockal na root a odposlechl si jeho heslo (chytre, nezmenil heslo 
roota). Pak nainstalil "ssh bomber" a jal se obtezovat nejaky ten Pentagon 
ci co.

-- 
Michal Vymazal
Office Computer
gandalf na mbox.vol.cz