Divny log, Hackli nas?

Tibor Pittich Tibor.Pittich na phuture.sk
Úterý Červenec 2 18:50:50 CEST 2002 

Dňa 02. júl 2002 o 16:56, Jirka Kosina napísal(a):

> On Tue, 2 Jul 2002, Jan Satko wrote:
> > > A kdyz jsem hledal soubor(y) nebo neco s bnc, tak jsem nic nenasel. V
> > > procesech jsem nasel proces bnc bezici pod uzivatelem irc, ktery mel
> > > jako cestu ./bnc. Proces jsem zabil.
> > A ani ste sa neksuil telnetnut na port, co to robi ?
> > Mozno to bol shell, tkory tam cakal a mozno nejaky blby program resp. 
> > mozno ten worm co sa siri cez apacha a potom napada dalsie servery.
> 
> Ten worm, o kterem se vi, se siri jen po *BSD, ne? Pod linuxem se zatim na 
> svetlo sveta nedostal zadny linuxovy exploit, jen DoS, afaik.

ak si pozrieme komentar, ktory je uvedeny v exploite, ktory bol poslany
do konferencie bugtraq, tak sa docitame:

 * However, contrary to what ISS would have you believe, we have
 * successfully exploited this hole on the following operating systems:
 *
 *      Sun Solaris 6-8 (sparc/x86)
 *      FreeBSD 4.3-4.5 (x86)
 *      OpenBSD 2.6-3.1 (x86)
 *      Linux (GNU) 2.4 (x86)
 *
 * Don't get discouraged too quickly in your own research. It took us close
 * to two months to be able to exploit each of the above operating systems.
 * There is a peculiarity to be found for each operating system that makes the
 * exploitation possible.

comu ja rozumiem tak, ze na *BSD sa o "rychle" exploitnutie postarala,
citujem "crappy" implementacia memcpy. pre ostatne platformy bolo treba
najst nieco ine, co asi nebolo take trivialne, ked to trvalo dva
mesiace.

samozrejme, nechcem zlahcovat problematiku, ale pre tych co tvoria
taketo wormy, ktore riesia veci okolo irc a "schovania identity" to
zrejme nie je take trivialne ako pouzitie uz publikovaneho exploitu.

ja by som sa ale chcel opytat, ci nahodou neexistuje aj iny workarround
ako upgrade apacha (iptables, a pod.). videl som napriklad mod_perl-ovy
modul, ktory by mal toto riesit. samozrejme, ciel je upgradnut, ale nie
vzdy sa to moze stihnut okamzite, hlavne ked je apache "zlepeny" z nie
prilis standardnych casti.

-- 
Linux 2.4.18-19mdk
Mandrake Linux release 8.3 (Cooker) for i586 
6:42pm up 18 days, 22:40, 9 users, load average: 0.07, 0.03, 0.00 
------------- další část ---------------
A non-text attachment was scrubbed...
Name: [žádný popis není k dispozici]
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20020702/158cf048/attachment.sig>

Další informace o konferenci Linux