[linux-guvenlik] Re: [UYARI] ABfrage Kernel Exploit

From: Deniz Akkus Kanca (deniz@arayan.com)
Date: Mon 21 Oct 2002 - 17:33:35 EEST

• Next message: Mustafa Özbakır: "[linux-guvenlik] reverse dns-spam mail kontrolu"
• Previous message: Cem Ulker: "[linux-guvenlik] Re: [UYARI] ABfrage Kernel Exploit"
• In reply to: Cem Ulker: "[linux-guvenlik] Re: [UYARI] ABfrage Kernel Exploit"

Cem Ulker yazmış:
> Abfrage ile ilgili=20
>
> http://www.heise.de/english/newsticker/data/jk-18.10.02-006/
>
> gibi bir link buldum. Ancak oldukcva kafa karistirici. Olayin aslini
> anlayabilen varmi?

Bu bir "şaka". ABFrag adında bulunan bir trojan, oraya TCP yığıtında
bulunan bir açık sebebi ile geldiğini ilan ediyor -- yani programı
çalıştıranlar, "bu uzaktan erişim yolu ile, TCP yığıtındaki bir hatayı
kullanarak buraya gelmiş bir programdır" uyarısı ile karşılaşıyorlar.

Meseleyi anlayabilmek için, uzun zamandır uzaktan erişim ile TCP
yığıtında bir hatayı kullanarak sistemlere sızmak konusunda bir
iddialaşma olduğunu bilmek gerekir. Böyle bir açık, eğer olsa idi, TCP
çalıştıran her makinayı, başka herhangi bir program/açığa gerek
olmaksızın tehlikeye sokacaktı. Bunun, örneğin Apache açıklarından
farkı, her makinada Apache olmaması. Ama her makinada TCP yığıtı var.
(veya makina ağa bağlı değil :) )

Dolayısıyla bu yazılım, başka bir yöntem ile makinaya sızmış olmasına
rağmen, kendisinin bir remote TCP açığı olduğunu ifade ediyor.

Tabii buna inananlar da çıkıyor ve ortalık karışıyor.

Uzun lafın kısası:

1. ABFrag diye bir trojan ortalarda dolaşıyor. Bir-iki örneği görülmüş.
Nasıl girdiği bilinmiyor. Tahminler geçenlerde ortalarda dolaşan OpenSSL
açığı üzerinden girdiğine yönelik.
2. ABFrag trojanını çalıştırırsanız, "ben bir remote TCP açığıyım"
yazısı ile karşılaşıyorsunuz.
3. ABFrag, remote TCP açığı ile yayılmıyor, böyle bir açık kullanmıyor.
Bilinen böyle bir açık yok.

4. Sistemlerimizi güncel tutalım, lütfen. OpenSSL worm'u, OpenSSL'in
ilgili hatası düzeltildikten aylar sonra ortaya çıktı, yine kendine bir
sürü kurban buldu.

Esen kalın,
Deniz

-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.

Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------

• Next message: Mustafa Özbakır: "[linux-guvenlik] reverse dns-spam mail kontrolu"
• Previous message: Cem Ulker: "[linux-guvenlik] Re: [UYARI] ABfrage Kernel Exploit"
• In reply to: Cem Ulker: "[linux-guvenlik] Re: [UYARI] ABfrage Kernel Exploit"