hack, bordel v /tmp
David Tok
ddt na coolnet.cz
Neděle Březen 31 17:31:01 CEST 2002
Zdravim,
tak se nekomu podarilo mi naborit jeden server, tak se chci zeptat,
jestli mate nekdo tip, co by mohlo byt spatne. Dotycneho jsem chytil "pri
cinu" - no asi po 1 a 1/2 hodine pobytu... (seznam softu je na konci mailu)
v tmp:
root server:/tmp/ /mass $ ls
bscan grabbb massu ssh.gz strobe targets targets.txt test x x2
root server:/tmp/ /mass $
mel spusteny onen proces x... a furu dalsiho, soubory targets obsahovali
exploitelne ssh verze - vypis:
Small - SSH-1.5-1.2.27,0x08070000,0x0....
Small - SSH-1.99-OpenSSH_2.2..........
Big - SSH-1.99-OpenSSH_2.2.0p1,0x0
... atd
pak soubor test obsahoval:
....
echo "* Scaner de bind "
echo "* versiuni exploitabile: 8.2, 8.2.1, 8.2.2"
echo " 8.2.2-REL, 8.2.2-P3"
echo " 8.2.2-P5, 8.2.2-P7 and 4.9.6-REL"
echo "* let'z start ...."
....
z toho vseho se mi zda, ze se jedna spise o robota, co me to naboril a pak
skousel lamat mashiny dal....
Bezi tam:
apache-1.3.23 + php-4.1.2
openssh-3.1
wu-ftpd-2.6.2
bind-9.2.0
sendmail-8.12.2
imap - z RH-7.2
... vsechno je kompilovane rucne, s novymi zlib, updaty byly updatle :-),
pri stahovani zdrojaku md5ky souhlasily.
porty:
Port State Service
21/tcp open ftp
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
110/tcp open pop-3
143/tcp open imap2
443/tcp open https
3306/tcp open mysql -- zavreny z venku, povoleny pouze na 127.0.0.1
bohuzel pop3 a imap2 a ftp musim mit, protoze ten server neni muj a oni
pani uzivatele tam neumi "to ssl", atd, ... proste odposlech hesla no
problem - uzivatele nejvetsi dira :-(.
V tom je podle me hlavni pricina. Ale zase na druhou stranu me to prijde
spis jako robot, protoze to lame jine servery....
Jestli mate nekdo tip...budu vdecny.... jinak pekne velikonoce :-)
--
david tok, uid: 0, C14H9Cl5 na coolnet.cz
Další informace o konferenci Linux