detekce su exploitu
Jirka Kosina
jikos na jikos.cz
Středa Červen 5 18:36:31 CEST 2002
On 5 Jun 2002, Ivo Panacek wrote:
> > Nicmene pokud se tam pise, ze ten trojan modifikuje /bin/su, tak pokud Vam
> > jde o ciste zjisteni, jestli ho mate v systemu, ze porovnate /bin/su z
> > identicke distribuce s tim, ktery mate na systemu (ovsem za predpokladu,
> > ze jste si /bin/su nekompiloval sam).
> Jasne, tyhle vsechny veci jsem udelal jako prvni.
> Kontrola ls, ps, su, netstat, lsmod, rmmod, ... sedelo !!!
> Domnivam se, ze jsem mu smazl vse, co se dalo.
> V /usr/games/kit sedelo adore a dgbot-0.5.
> Nicmene pote, co jsem vse (ja vim, vse ne) prohlidl,
> (vcetne crona, vseho co spousti, modulu, ...),
> tak se tam "nahle" objevil zase (/tmp/xp, ...).
No, to vypada, ze jste vcas neaplikoval nejakou bezpecnostni zaplatu, mam
pocit, ze Adore leze jen pres "stare zname" - tzn. wu-ftpd, bind, lprng,
nfs, ... ?
Tady:
http://www.sans.org/y2k/adore.htm
je nejaky pokec o tomto wormu a removal tooly. Ale obavam se, ze pokud
jste tam mel neco zajimavejsiho, tak si tam jeste rucne nainstaloval
kdejaky kiddie lecjake backdoory.
Posledni dobou se pomerne rozmahaji kernelove backdoory (at uz nejakymi
nevidielnymi moduly, nebo primo modifikaci pameti beziciho kernelu skrz
/dev/[k]mem), jejich detekce muze byt sktuecne velice netrivialni.
Doporucuji ono obligantni a nepopularni: nez hledat co je vsechno
zatrojanovane, zazalohovat (pouze data!! ;) ), nainstalovat znova, a
aplikovat updaty.
--
JiKos.
Další informace o konferenci Linux