From: Umut (php@kakalak.org)
Date: Thu 12 Feb 2004 - 13:39:10 EST
Merhaba,
Sohbet listesinde rootkit macerami anlatmistim.
tuxkit denilen bir rootkit oldugunu tespit ettim.
basitce kaldirdim ve firsattan istifade ile tum
slackware orijinal paketlerimi yukselttim.
ayar dosyalarini taradim, tux dosyalarini sildim
tuxkiti kurmak icin sistemde kendisine shell
acmis, bunu anlayabiliyorum. Bunu yapmak icin de
kendi ftp hesabini kullanmis. Daha sonra php icinden
exploit etmis sistemi. Daha sonra actigi kullanici ile
sisteme girip daha once vermis oldugum adresteki
bir binary dosyayi indirip calistirmis.
Simdi kendisine actigi kullanici standart kullanici.
Yani yetkileri kisitli. Ama calistirdigi dosya sanirim
bir sekilde kerneli exploit edip tux dosyalarini
acilista calisacak sekilde ayarladi. Zaten o dosyayi
calistirdiginda makina acilamayacak sekilde kilitlendi
ve sistemi makina basindan restart ettim.
Eski kernel 2.4.18 idi.
- 1 -
Merak ettigim konu su: Bunun tekrarinin olmamasi icin
standart versiyon yukseltmeler disinda yapmam gerekenler
neler? Ben su asamada tum binaryleri sadece root
tarafindan calistirilabilir yaptim. Boylece wget ya da
benzeri faydali araclar artik sadece roota acik. Bu biraz
hiz kesecektir.
- 2 -
ssh ile bildik kontrollere ilave olarak client ip kontrolu
koydum. Standart hizmetlerin verildigi interface uzerinden
ssh'i kaldirdim.
- 3 -
Bir sonraki islem olarak sshd'yi komple kapatmayi dusunuyorum.
Onun yerine ucuncu bir makinadan enver bey'in onermis
oldugu seri port sistemini kuracagim. Bu firewall tarzi
makina sadece sshd calistiracagi icin exploit edilme riski
daha az olacak. Seri port belki daha yavas olacak ama
guvenlik icin deger sanirim.
Bu 3 madde icin ne dersiniz?
Saygilar.
Umut