detekce su exploitu
Ivo Panacek
ivop na regionet.cz
Středa Červen 5 18:45:43 CEST 2002
On St, 2002-06-05 at 18:36, Jirka Kosina wrote:
> On 5 Jun 2002, Ivo Panacek wrote:
>
> > > Nicmene pokud se tam pise, ze ten trojan modifikuje /bin/su, tak pokud Vam
> > > jde o ciste zjisteni, jestli ho mate v systemu, ze porovnate /bin/su z
> > > identicke distribuce s tim, ktery mate na systemu (ovsem za predpokladu,
> > > ze jste si /bin/su nekompiloval sam).
> > Jasne, tyhle vsechny veci jsem udelal jako prvni.
> > Kontrola ls, ps, su, netstat, lsmod, rmmod, ... sedelo !!!
> > Domnivam se, ze jsem mu smazl vse, co se dalo.
> > V /usr/games/kit sedelo adore a dgbot-0.5.
> > Nicmene pote, co jsem vse (ja vim, vse ne) prohlidl,
> > (vcetne crona, vseho co spousti, modulu, ...),
> > tak se tam "nahle" objevil zase (/tmp/xp, ...).
>
> No, to vypada, ze jste vcas neaplikoval nejakou bezpecnostni zaplatu, mam
> pocit, ze Adore leze jen pres "stare zname" - tzn. wu-ftpd, bind, lprng,
> nfs, ... ?
>
> Tady:
> http://www.sans.org/y2k/adore.htm
Podivam se, dik za tip.
Uz mezitim vim, ze mi tam vlezl pres stare ssh.
Uz je tam nove (no to je 6.x redhat).
Nicmene je ni to podezrele, protoze tam jsou ipchains
(kernel 2.2.16) a v nich mam ssh povolene jen z nekterych
stanic a on v tom logu, skutecne kernel (ne ssh !) loguje pokus
o prunik ze spatne IP adresy a dava je do DENY chainu!
Nicmene to ocividne byla ta dira, nebot si vzapeti z teze adresy
spustil telnetd (pripsal ho do /etc/inetd.conf).
>
> je nejaky pokec o tomto wormu a removal tooly. Ale obavam se, ze pokud
> jste tam mel neco zajimavejsiho, tak si tam jeste rucne nainstaloval
> kdejaky kiddie lecjake backdoory.
>
> Posledni dobou se pomerne rozmahaji kernelove backdoory (at uz nejakymi
> nevidielnymi moduly, nebo primo modifikaci pameti beziciho kernelu skrz
> /dev/[k]mem), jejich detekce muze byt sktuecne velice netrivialni.
>
> Doporucuji ono obligantni a nepopularni: nez hledat co je vsechno
> zatrojanovane, zazalohovat (pouze data!! ;) ), nainstalovat znova, a
> aplikovat updaty.
Samozrejme. Mea maxima culpa. Zalohovane je vsechno,
instalace nova bude, ale nejde hned.
ivo
Další informace o konferenci Linux