RH9 hacked :(

Dave Lister dave na birko.cjb.net
Úterý Srpen 26 00:38:21 CEST 2003 

> Dobry den,
Dobry den

> predem jsem tot. zacatecnik s OS linuxem.
> A pred casem se mi podarilo naistalovat RH9 coby router
> se vsemi moznymi aplikace. Avsak nez jsem se prokousal iptables a vsemi
> pathemi ktere byly vystaveny na redhat.com, do systemu se mi nekdo vloupal.
Mate pravdu.

> Avsak mam velky problem s prikazem /sbin/init :(
Misto /sbin/init mate podstrceny kernel backdoor "sk", zcela evidentne
pomerne nesikovne, asi se nejednalo o moc zkuseneho crackera. Tento
backdoor se natahne po kompromitaci poce "do jadra" pres /dev/kmem
a umoznuje utocnikovi se kdykoli vratit - jiz bez hesla a potreby cokoli
exploitovat. Prihlaseni probiha pres jakoukoli sluzbu poslouchajici na
TCP portu vaseho pocitace. Cestu mu tedy zavrete kompletnim odfiltrovanim
vsech portu:

IPTABLES -I INPUT -m state --state NEW -j DROP;

Jak system obnovit? Backdoor skryva sitove konexe, bezici programy i
soubory, ktere maji specielni koncovku. Utocnik pouzil nahradu
/sbin/init proto, aby se backdoor natahl i po restartovani pocitace.
Vy jej tedy musite pri bootu obejit - nez linux zacne vypisovat pri
bootovani "hlasky" musite zmacknout "shift" a zadat nazev image, ktery
ma nabootovat (zpravidla "linux" - moznosti vam ukaze zmacknuti "tab"),
mezeru a "init=/bin/bash". Tedy nejspis:

linux init=/bin/bash

Az vse nabehne, budete v shellu jako root a pujdete do /sbin - napisete

ls -la init*

mely by se vam vypsat dva soubory - init a initNECO ("NECO" je ona
utajnovaci koncovka). Musite prepsat onen podvrzeny init tim puvodnim,
tedy:

mv initNECO init

nebo rovnou nainstalovat onen RPM balicek, to by asi bylo lepsi, kdyby
se vam nevypsaly dva soubory v tom tvaru jak jsem naznacil.

Pak by melo stacit restartovat pocitac a backdoor by mel byt pryc. Jiste
je mozne, tam mate jeste jina zadni vratka, ale vzhledem k amaterskemu
pristupu toho cloveka myslim, ze to bude vse. Nedivil bych se, kdyby ona
tajemna koncovka byla "sk12" a v adresari

/usr/share/locales/sk/.sk12

jste mel mimo jine soubor .sniffer, ktery by obsahoval vycuchana hesla z
konzoli. Kdyby neco neslo, dejte vedet; rad poradim.

Dave Lister

Další informace o konferenci Linux