hack, bordel v /tmp
Jirka Kosina
jikos na jikos.cz
Neděle Březen 31 18:21:25 CEST 2002
On Sun, 31 Mar 2002, David Tok wrote:
> tak se nekomu podarilo mi naborit jeden server, tak se chci zeptat,
> jestli mate nekdo tip, co by mohlo byt spatne. Dotycneho jsem chytil "pri
> root server:/tmp/ /mass $ ls
> bscan grabbb massu ssh.gz strobe targets targets.txt test x x2
> root server:/tmp/ /mass $
> mel spusteny onen proces x... a furu dalsiho, soubory targets obsahovali
> exploitelne ssh verze - vypis:
Asi nejaky kiddie, tohle je obecne dostupny ssh exploit (nektere verze,
ktere se sirily pouze v binarni forme, byly trojany, afaik).
> Bezi tam:
> apache-1.3.23 + php-4.1.2
> openssh-3.1
> wu-ftpd-2.6.2
> bind-9.2.0
> sendmail-8.12.2
> imap - z RH-7.2
> ... vsechno je kompilovane rucne, s novymi zlib, updaty byly updatle :-),
> pri stahovani zdrojaku md5ky souhlasily.
A jste si jisty, ze to nekdo skutecne hacknul? Nepovedlo se spis nekomu
jenom chytit heslo nejakeho Vaseho uzivatele, pres ktere se pak prihlasil,
a zkousel se lamat nekam jinam?
AFAIK na to co pisete nejsou zadne eploity, ktere by byly tak nejak
vsobecne zname, ale jinak se zda, ze to byl nejaky kiddie (automaticke
skripty na hackovani dalsich stroju), takze bych neocekaval ze byste mel
co do cineni s nejakym tvorivym hackerem, ktery by sam nasel nejakou diru.
Zkuste poradne projit system a podivat se po root-backdoorech, ale rekl
bych, ze mozna ani nic nenajdete, a jedine, co Vam tam ten haxker spachal
je stazeni exploitu do /tmp a zkouseni o hack dalsich stroju.
--
JiKos.
Další informace o konferenci Linux