RH9 hacked :(

Peter Surda shurdeek na panorama.sth.ac.at
Úterý Srpen 26 02:39:29 CEST 2003 

On Mon, Aug 25, 2003 at 10:49:14PM +0200, Pavel Kratina wrote:
> Dobry den,
cau

> predem jsem tot. zacatecnik s OS linuxem.
Tym presiel kazdy :-).

> A pred casem se mi podarilo naistalovat RH9 coby router
> se vsemi moznymi aplikace. Avsak nez jsem se prokousal iptables a vsemi
> pathemi ktere byly vystaveny na redhat.com, do systemu se mi nekdo vloupal.
Redhat poskytuje velmi jednoduchu metodu upgradu, vola sa "Red Hat Network".
Staci sa zaregistrovat (rhn_register) a spustit up2date a on potrebne veci
nataha a doinstaluje. Na 1 pocitac je to zadarmo.

Osobne ale uprenostnujem yum (na google daj hladat "yellow dog updater
modified", lebo ma otvorenu servrovu cast a mozem si tam teda pridavat vlastne
veci.

> Nasel jsem mnoho programu po systemu ktery byly vylozene cizi, smazal jsem
> je a reinstaloval rpm balicky, ktere podle databaze meli jinou velikost.
Ak si opravoval z toho preniknuteho systemu, tak je to uplne zbytocne, mozes
tam mat modifikovany kernel. Mozes spravit zhruba toto:

1. nabootuj nejaku rescue distribuciu z floppy/cd/usb/whatever, zazalohuj si
potrebnu konfiguraciu (a samozrejme over, ci nebola modifikovana)

2. eventuelne zazalohuj cely system na neskorsiu analyzu

3. reinstalacia od nuly, vypnut vsetky sluzby, POTOM sa pripojit na internet a
upgradenut vsetko. Eventuelne skopirovat/napasovat konfiguraciu zo zalohy
spravenej v bode 1 (aj ked zalohovat by si mal aj tak)

> Avsak mam velky problem s prikazem /sbin/init :(
> vzdy kdyz jej zavolam z konzole ohlasi
> 
> /dev/null
> FUCK: Can't find sys_call_table[]
> to mi taky prijde divny, ze by pouzivaly v RHL takovy vyrazy :)))
To moze byt modifikovane jadro.

> kazdopadne ho nemohu opravit , "smazat", reinstalovat..... i pri reinstalasi
> SysVinit-2.84-13.i386.rpm
> mam permission denied.
To moze byt immutable atribut.

> Help jak na to anihz bych musel cely system reinstalovat.
Pokial nie si taky guru, ze zvladnes analyzu a dokazes dat system do povodneho
stavu, plus externe vplyvy ako dostatok casu a nedolezita doba vypadku, tak to
neodporucam. 

Aj ked bez dodatocnych informacii je tazke odhadnut, co presne sa stalo,
zrejme niekto vyuzil znamu chybu, ktoru si nezaplatoval, prenikol a
nainstaloval rootkit. Existuje taky program, myslim ze sa vola chkrootkit,
ktory ti povie presnejsie co za svinstvo tam mas.

> I kdyz v otazce bezpecnosti nebylo by to lepsi ?
Bylo, nielen to, usetris cas.

> Dekuji mnohokrat Pavel K
Bye,

Peter Surda (Shurdeek) <shurdeek na panorama.sth.ac.at>, ICQ 10236103, +436505122023

-- 
         The computer revolution is over. The computers won.

Další informace o konferenci Linux