From: Murat ŞİŞMAN (msisman@kobiline.com)
Date: Mon 26 Apr 2004 - 17:09:47 EEST
Sorun su sekilde oluyor.
www.deneme.com/index.php?sayfa=main.php
burda php main.php isimli dosyayı açarak işlem yapıyor bu sayede sisteme
komut çalıştırtılabiliyor. Bu açığı kontrol etmek için dario.tar.gz
isimli programı kullanabilirsin.
Apache user olarak sisteme giren kişi exploit kullanmak için /tmp
dizinin kullanır. Wget ilde exploit kaynagını indirip ancak bu dizinde
derleme yapabilir. Eğer kernel tutuyorsa "ki senin kernelinde root olmak
oldukça basit" root olur, makinana rootkit kurar. Bu rootkit kendi
süreçlerini gizler ve sen onu göremezsin. ssh ve telnet açığını
kullanarak kullanıcı kendi belirlediği porttan giriş yapar. Bulman çok
ama çok zorlaşır. Sisteminde rootkit taraması yaptır bu işe yarayabilir.
Eğer fazla kullanıcı hesabın yoksa bunu içeriden biriside yapmış
olabilir diye düşünerek kullanıcılarının dizinlerindeki dosyaları
kontrol et ".bash_history ve .sh_history" dosyalarına bakmayı sakın
unutma. Veya kullanıcı fazla isede basite indirgeyip cat
/home/*/.bash_history | grep id uname hacked who gibi aramalar
yapabilirsin. (sistemi hacklemeye çalışanlar id uname who gibi komutları
çok kullanırlar)
basit bir betik hazırlayıp /tmp dizinini 2 şer veya 3 er saatte bir
yedeğini aldır ve bunları kontrol et. yabancı bir dosya gördüğün an
olaya müdahele etmen daha kolaylaşır. Belki o zamana kadar log ları
silmemiş olur ve ordan ip vs.. adresini bulman kolaylaşır.
Normal bir üyenin hesabını kullanıyor olabilir. Sen ne kadar rootkitleri
exploitleri silersen sil eğer bir kullanıcının şifresini biliyor ise onu
kullanarak giriş yapar ve aynılarını tekrar eder. Kullanıcılarının
girişlerini loglardan takip etmeye calıs ve karşılaştırma yap.
/etc/passwd dosyanı bir gözden geçir
lp:0:0 gibi lp kullanıcısını root grubuyla değiştirmiş olabilir.
/etc/shadow dan lp games gibi userların şifresi olup olmadığını kontrol
et. Şifre varsa hemen yok et :)
İlk ama ilk önlem olarak en son sürüm kerneli yükle. Çünkü root
olabilmenin %80 ilk yolu kernel hatalarıdır.
Şunu da unutma ne kadar güvenlik önlemi alırsan al sonunda yine sisteme
girilir bir yol ile.
Dilersen bana bir normal user aç birlikte kontrol edelim rootkit ve
exploit olayını. 1-2 saatliğine müsaitim yapacak iş arıyordum.