detekce su exploitu

Jirka Kosina jikos na jikos.cz
Středa Červen 5 18:36:31 CEST 2002


On 5 Jun 2002, Ivo Panacek wrote:

> > Nicmene pokud se tam pise, ze ten trojan modifikuje /bin/su, tak pokud Vam 
> > jde o ciste zjisteni, jestli ho mate v systemu, ze porovnate /bin/su z 
> > identicke distribuce s tim, ktery mate na systemu (ovsem za predpokladu, 
> > ze jste si /bin/su nekompiloval sam).
> Jasne, tyhle vsechny veci jsem udelal jako prvni.
> Kontrola ls, ps, su, netstat, lsmod, rmmod, ... sedelo !!!
> Domnivam se, ze jsem mu smazl vse, co se dalo.
> V /usr/games/kit sedelo adore a dgbot-0.5.
> Nicmene pote, co jsem vse (ja vim, vse ne) prohlidl,
> (vcetne crona, vseho co spousti, modulu, ...),
> tak se tam "nahle" objevil zase (/tmp/xp, ...).

No, to vypada, ze jste vcas neaplikoval nejakou bezpecnostni zaplatu, mam 
pocit, ze Adore leze jen pres "stare zname" - tzn. wu-ftpd, bind, lprng, 
nfs, ... ?

Tady:
http://www.sans.org/y2k/adore.htm

je nejaky pokec o tomto wormu a removal tooly. Ale obavam se, ze pokud 
jste tam mel neco zajimavejsiho, tak si tam jeste rucne nainstaloval 
kdejaky kiddie lecjake backdoory.

Posledni dobou se pomerne rozmahaji kernelove backdoory (at uz nejakymi 
nevidielnymi moduly, nebo primo modifikaci pameti beziciho kernelu skrz 
/dev/[k]mem), jejich detekce muze byt sktuecne velice netrivialni.

Doporucuji ono obligantni a nepopularni: nez hledat co je vsechno 
zatrojanovane, zazalohovat (pouze data!! ;) ), nainstalovat znova, a 
aplikovat updaty.

-- 
JiKos.




Další informace o konferenci Linux