From: Can Erkin Acar (canacar@eee.metu.edu.tr)
Date: Fri 13 Feb 2004 - 03:56:58 EST
On Thu, Feb 12, 2004 at 08:39:10PM +0200, Umut wrote:
> Merhaba,
>
> Sohbet listesinde rootkit macerami anlatmistim.
>
> tuxkit denilen bir rootkit oldugunu tespit ettim.
>
> basitce kaldirdim ve firsattan istifade ile tum
> slackware orijinal paketlerimi yukselttim.
> ayar dosyalarini taradim, tux dosyalarini sildim
eliniz degmisken bastan kurmaniz daha yararli olurdu.
Farketmediginiz backdoorlarin kalmis olma ihtimalini
ortadan kaldirirdiniz.
> tuxkiti kurmak icin sistemde kendisine shell
> acmis, bunu anlayabiliyorum. Bunu yapmak icin de
> kendi ftp hesabini kullanmis. Daha sonra php icinden
> exploit etmis sistemi. Daha sonra actigi kullanici ile
> sisteme girip daha once vermis oldugum adresteki
> bir binary dosyayi indirip calistirmis.
>
> Simdi kendisine actigi kullanici standart kullanici.
> Yani yetkileri kisitli. Ama calistirdigi dosya sanirim
> bir sekilde kerneli exploit edip tux dosyalarini
> acilista calisacak sekilde ayarladi. Zaten o dosyayi
> calistirdiginda makina acilamayacak sekilde kilitlendi
> ve sistemi makina basindan restart ettim.
Exploit binarylerini (hatta tanimadiginiz hic bir binary dosyayi)
networkten izole bir test makinasi disinda calistirmayin. Makinayi
restart ettikten sonra bastan kurmadan hala saglam olduguna nasil
emin olabiliyorsunuz?
> Eski kernel 2.4.18 idi.
gecmis olsun :)
> - 1 -
> Merak ettigim konu su: Bunun tekrarinin olmamasi icin
> standart versiyon yukseltmeler disinda yapmam gerekenler
> neler? Ben su asamada tum binaryleri sadece root
> tarafindan calistirilabilir yaptim. Boylece wget ya da
> benzeri faydali araclar artik sadece roota acik. Bu biraz
> hiz kesecektir.
Bana faydadan cok zarar verir gibi geldi. Bu yaklasimi
'insecurity through administrative pain' olarak adlandirmak
mumkun. Nedenlerine gelince:
1. saldirganlar/rootkitler genellikle kendi shell hatta sshd binaryleri
ile birlikte gelirler.
2. kendinizi ve sadece 'root' haklarina actiginiz programlari kullanmasi
gereken diger program/daemonlari makinada 'root' olarak calismaya
zorluyorsunuz. Bu da sistemin guvenligini cok dusurecektir. Root
bu uygulamalardaki bir acik dogrudan 'root' exploitlere donusecektir.
3. Bu tip programlar gerekmiyorsa hic kurmayin. Gerekiyorsa, ayarlarini
duzgun yapin, bilgisayardaki firewall ayarlarinda sadece girisleri degil
cikislari da kontrol edin. root kullanicisini mumkun oldugu kadar az
kullanin.
> - 2 -
> ssh ile bildik kontrollere ilave olarak client ip kontrolu
> koydum. Standart hizmetlerin verildigi interface uzerinden
> ssh'i kaldirdim.
bu guzel bir onlem.
> - 3 -
> Bir sonraki islem olarak sshd'yi komple kapatmayi dusunuyorum.
> Onun yerine ucuncu bir makinadan enver bey'in onermis
> oldugu seri port sistemini kuracagim. Bu firewall tarzi
> makina sadece sshd calistiracagi icin exploit edilme riski
> daha az olacak. Seri port belki daha yavas olacak ama
> guvenlik icin deger sanirim.
Bu da ayni 'insecurity through administrative pain' yaklasimi. Kendi
isinizi ne kadar zorlastirirsaniz saldirganin da ayni sekilde zorlanacagini
dusunuyorsunuz, ancak bir saldirgan sizin kadar titiz davranmayip makina
uzerinde kendi sshd'sini calistiriyor bile olabilir.
Bunun yerine bu seri portu (ya da ayri bir network karti) uzerinden bagli
bu bilgisayari sistem loglarini toplamak icin kullanmanizi oneririm.
Cok daha yararli olur.
Iyi calismalar
Can E. Acar
Pro-G Bilisim Guvenligi ve Arastirma Ltd. Sti.
Tel: +90 312 2101494 Web: http://www.pro-g.com.tr