From: enginaar© (engin@saroz-life.com)
Date: Tue 27 Apr 2004 - 09:24:25 EEST
(Arial font kullaninca duzelir mi acaba. Bu arada beni flood’dan atmazlar
umarım. :-)))))
Mailime şimdi baktım ve sanırım 1-2 saat geçmiş, müsait olduğun başka bi
zaman bana mail atabilirsin ama senin de exploit yerleştirmiycenden nasıl
emin olabilirim :) yeni hacklenmiş biri olarak yüksek paranoya
düzeylerindeyim.
Yav dediğin programı buldum da onu kurucam sonra nasıl kaldırıcam,
girmesinler makinaya gene. Bi de kernel update edicem etmesine ama dediğim
gibi kullandığım CP daha yenilerini desteklemio.
Bi de amma zahmetli işmiş bu hackerlık ya sen basitçe anlatırken bile
paragraf paragraf döktürmüşün millet bunla mı uraşıo ya. Allahım sen
insanoğluna akıl fikir ver yarabbim.
Ali Engin
-----Original Message-----
From: linux-guvenlik-bounce@liste.linux.org.tr
[mailto:linux-guvenlik-bounce@liste.linux.org.tr] On Behalf Of Murat ŞİŞMAN
Sent: Monday, April 26, 2004 5:10 PM
To: linux-guvenlik@liste.linux.org.tr
Subject: [linux-guvenlik] Re: teşekkürler :)
Sorun su sekilde oluyor.
www.deneme.com/index.php?sayfa=main.php
burda php main.php isimli dosyayı açarak işlem yapıyor bu sayede sisteme
komut çalıştırtılabiliyor. Bu açığı kontrol etmek için dario.tar.gz
isimli programı kullanabilirsin.
Apache user olarak sisteme giren kişi exploit kullanmak için /tmp
dizinin kullanır. Wget ilde exploit kaynagını indirip ancak bu dizinde
derleme yapabilir. Eğer kernel tutuyorsa "ki senin kernelinde root olmak
oldukça basit" root olur, makinana rootkit kurar. Bu rootkit kendi
süreçlerini gizler ve sen onu göremezsin. ssh ve telnet açığını
kullanarak kullanıcı kendi belirlediği porttan giriş yapar. Bulman çok
ama çok zorlaşır. Sisteminde rootkit taraması yaptır bu işe yarayabilir.
Eğer fazla kullanıcı hesabın yoksa bunu içeriden biriside yapmış
olabilir diye düşünerek kullanıcılarının dizinlerindeki dosyaları
kontrol et ".bash_history ve .sh_history" dosyalarına bakmayı sakın
unutma. Veya kullanıcı fazla isede basite indirgeyip cat
/home/*/.bash_history | grep id uname hacked who gibi aramalar
yapabilirsin. (sistemi hacklemeye çalışanlar id uname who gibi komutları
çok kullanırlar)
basit bir betik hazırlayıp /tmp dizinini 2 şer veya 3 er saatte bir
yedeğini aldır ve bunları kontrol et. yabancı bir dosya gördüğün an
olaya müdahele etmen daha kolaylaşır. Belki o zamana kadar log ları
silmemiş olur ve ordan ip vs.. adresini bulman kolaylaşır.
Normal bir üyenin hesabını kullanıyor olabilir. Sen ne kadar rootkitleri
exploitleri silersen sil eğer bir kullanıcının şifresini biliyor ise onu
kullanarak giriş yapar ve aynılarını tekrar eder. Kullanıcılarının
girişlerini loglardan takip etmeye calıs ve karşılaştırma yap.
/etc/passwd dosyanı bir gözden geçir
lp:0:0 gibi lp kullanıcısını root grubuyla değiştirmiş olabilir.
/etc/shadow dan lp games gibi userların şifresi olup olmadığını kontrol
et. Şifre varsa hemen yok et :)
İlk ama ilk önlem olarak en son sürüm kerneli yükle. Çünkü root
olabilmenin %80 ilk yolu kernel hatalarıdır.
Şunu da unutma ne kadar güvenlik önlemi alırsan al sonunda yine sisteme
girilir bir yol ile.
Dilersen bana bir normal user aç birlikte kontrol edelim rootkit ve
exploit olayını. 1-2 saatliğine müsaitim yapacak iş arıyordum.