From: The RED (jdred@gmx.net)
Date: Tue 19 Apr 2005 - 03:58:35 EEST
öncelikle sisteme root olarak girildiğine dair bir veri yok. kullanılan programı araştırdım. nobody olarak shell erişimi sağlıyor. bulgular da zaten bu yönde. ayrıca bu programı çalıştıranın bir türk (loglardan öyle görünüyor) olduğunu da dikkate alınca eğer root erişimine sahip olsaydı bence mutlaka dayanamaz ve bir şeyler yapardı. sistemi temizledim ve bu olayın tekrarlanmaması için gerekli önlemleri aldım. elemanın denediği aynı yöntemi kendim denedim, önlemleri almadan önce bu yöntem çalışıyorken, önlemlerden sonra işe yaramaz oldu. elbette her ne kadar bazı araçlarla binary'lerde de taramalar yapmış olsam da tüm binarylerden emin olmama imkan yok. ama şu an root erişimine sahip olduklarına dair hiçbir bulgu yokken onlarca web sitesini tüm ayarlarıyla, e-mailleriyle, veritabanlarıyla vs. yedekleyip sisteme format atıp yeniden kurmak şu ankinden daha büyük bir problem ve risk.. bu konuya cevap verenlerden sayın huzeyfe de benzer bir problemle karşılaştığını belirtmiş ve bendeki durum da onun mailinde bahsettiği şeye uyuyor..
fikirlerini ve yardımlarını esirgemeyen herkese teşekkürler..
----- Original Message -----
From: Umut
To: linux-guvenlik@liste.linux.org.tr
Sent: Monday, April 18, 2005 11:25 PM
Subject: Re: [Linux-guvenlik] Re: [Linux-sunucu] r0nin
sisteminizdeki tum binary'lerden emin misiniz?
Birisi sisteminize girdi ve root olarak heryerde dolasti.
Bugun olmasa bile biraktigi bir backdoor vasitasiyla yarin sizi komple ici bos bir sunucuyla basbasa birakirsa ne yapacaksiniz?
Ayrica 2.4.22 kernel sanirim biraz eski.. 2.4.30 var su anda. Changelog'lara ve securityfocus-bugtraq arşivlerine bakarsanız hatanızı görürsünüz.
safe_mode kapali bile olsa kernel açığınız olmasaydı rootkiti kuramazdı bilgisayarınıza. safe_mode açık bile olsa güvende değilsiniz. script açığı ile değil ama ftp hakkı olan birisi kendi eliyle sizi yine çökertebilir.
eger farkında olmadan hosting aldigimiz firmalardan birisiyseniz tanrı bizi korusun...
Saygilar.
On 4/18/05, The RED <jdred@gmx.net> wrote:
sanırım basit bir hata yapmışım. php safe mode kapalıymış :(
onu açıp aynı yolla r0nin'i yüklemeyi denedim bu sefer yüklenmedi.
inşallah /var/tmp dizinine giriş olayı da bunun sonucunda olmuştur ve
inşallah başka bir açık yoktur.
chkrootkit ve rkhunter ile tarattım bir sorun çıkmadı.
bu son gelişmeler ışığında sizce hala bu sunucudan hayır gelmez mi yoksa
problem giderilmişmidir?
umarım başka bri açık kalmamıştır, şu an bir şey görünmüyor bakalım..
------------------------------------------------------------------------------
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik