From: enginaar© (engin@saroz-life.com)
Date: Mon 26 Apr 2004 - 21:01:17 EEST
Mailime =FEimdi bakt=FDm ve san=FDr=FDm 1-2 saat ge=E7mi=FE, m=FCsait =
oldu=F0un ba=FEka bi
zaman bana mail atabilirsin ama senin de exploit yerle=FEtirmiycenden =
nas=FDl
emin olabilirim :) yeni hacklenmi=FE biri olarak y=FCksek paranoya
d=FCzeylerindeyim.=20
Yav dedi=F0in program=FD buldum da onu kurucam sonra nas=FDl =
kald=FDr=FDcam,
girmesinler makinaya gene. Bi de kernel update edicem etmesine ama =
dedi=F0im
gibi kulland=FD=F0=FDm CP daha yenilerini desteklemio.
Bi de amma zahmetli i=FEmi=FE bu hackerl=FDk ya sen basit=E7e =
anlat=FDrken bile
paragraf paragraf d=F6kt=FCrm=FC=FE=FCn millet bunla m=FD ura=FE=FDo ya. =
Allah=FDm sen
insano=F0luna ak=FDl fikir ver yarabbim.
Ali Engin
-----Original Message-----
From: linux-guvenlik-bounce@liste.linux.org.tr
[mailto:linux-guvenlik-bounce@liste.linux.org.tr] On Behalf Of Murat =
=DE=DD=DEMAN
Sent: Monday, April 26, 2004 5:10 PM
To: linux-guvenlik@liste.linux.org.tr
Subject: [linux-guvenlik] Re: te=FEekk=FCrler :)
Sorun su sekilde oluyor.
www.deneme.com/index.php?sayfa=3Dmain.php
burda php main.php isimli dosyay=FD a=E7arak i=FElem yap=FDyor bu sayede =
sisteme=20
komut =E7al=FD=FEt=FDrt=FDlabiliyor. Bu a=E7=FD=F0=FD kontrol etmek =
i=E7in dario.tar.gz=20
isimli program=FD kullanabilirsin.
Apache user olarak sisteme giren ki=FEi exploit kullanmak i=E7in /tmp=20
dizinin kullan=FDr. Wget ilde exploit kaynag=FDn=FD indirip ancak bu =
dizinde=20
derleme yapabilir. E=F0er kernel tutuyorsa "ki senin kernelinde root =
olmak=20
olduk=E7a basit" root olur, makinana rootkit kurar. Bu rootkit kendi=20
s=FCre=E7lerini gizler ve sen onu g=F6remezsin. ssh ve telnet =
a=E7=FD=F0=FDn=FD=20
kullanarak kullan=FDc=FD kendi belirledi=F0i porttan giri=FE yapar. =
Bulman =E7ok=20
ama =E7ok zorla=FE=FDr. Sisteminde rootkit taramas=FD yapt=FDr bu i=FEe =
yarayabilir.
E=F0er fazla kullan=FDc=FD hesab=FDn yoksa bunu i=E7eriden biriside =
yapm=FD=FE=20
olabilir diye d=FC=FE=FCnerek kullan=FDc=FDlar=FDn=FDn dizinlerindeki =
dosyalar=FD=20
kontrol et ".bash_history ve .sh_history" dosyalar=FDna bakmay=FD =
sak=FDn=20
unutma. Veya kullan=FDc=FD fazla isede basite indirgeyip cat=20
/home/*/.bash_history | grep id uname hacked who gibi aramalar=20
yapabilirsin. (sistemi hacklemeye =E7al=FD=FEanlar id uname who gibi =
komutlar=FD=20
=E7ok kullan=FDrlar)
basit bir betik haz=FDrlay=FDp /tmp dizinini 2 =FEer veya 3 er saatte =
bir=20
yede=F0ini ald=FDr ve bunlar=FD kontrol et. yabanc=FD bir dosya =
g=F6rd=FC=F0=FCn an=20
olaya m=FCdahele etmen daha kolayla=FE=FDr. Belki o zamana kadar log =
lar=FD=20
silmemi=FE olur ve ordan ip vs.. adresini bulman kolayla=FE=FDr.
Normal bir =FCyenin hesab=FDn=FD kullan=FDyor olabilir. Sen ne kadar =
rootkitleri=20
exploitleri silersen sil e=F0er bir kullan=FDc=FDn=FDn =FEifresini =
biliyor ise onu=20
kullanarak giri=FE yapar ve ayn=FDlar=FDn=FD tekrar eder. =
Kullan=FDc=FDlar=FDn=FDn=20
giri=FElerini loglardan takip etmeye cal=FDs ve kar=FE=FDla=FEt=FDrma =
yap.
/etc/passwd dosyan=FD bir g=F6zden ge=E7ir
lp:0:0 gibi lp kullan=FDc=FDs=FDn=FD root grubuyla de=F0i=FEtirmi=FE =
olabilir.=20
/etc/shadow dan lp games gibi userlar=FDn =FEifresi olup =
olmad=FD=F0=FDn=FD kontrol=20
et. =DEifre varsa hemen yok et :)
=DDlk ama ilk =F6nlem olarak en son s=FCr=FCm kerneli y=FCkle. =
=C7=FCnk=FC root=20
olabilmenin %80 ilk yolu kernel hatalar=FDd=FDr.
=DEunu da unutma ne kadar g=FCvenlik =F6nlemi al=FDrsan al sonunda yine =
sisteme=20
girilir bir yol ile.
Dilersen bana bir normal user a=E7 birlikte kontrol edelim rootkit ve=20
exploit olay=FDn=FD. 1-2 saatli=F0ine m=FCsaitim yapacak i=FE =
ar=FDyordum.