From: Serdar Koylu (serdarkoylu@fisek.com.tr)
Date: Mon 30 Jun 2003 - 15:05:41 EEST
Selamlar...
Son cikan dagitimlarin hemen hepsi, SMB remote exploitlerinden muzdarip. Benim
masaustunde kullandigim makina bir tur honeypot gibi calisiyor. Firewall
uzerinde smb kapaliydi, bir ton ugrasan, ilisen vardi. 1-2 gun once actim ve
dun saat 15:32 itibariyla nihayet ilk kez hacklenmeyi becerdim :)) Ben onu
izlerken ne yapiyor diye, baskalari da muzarat oldu, simultane olarak 2-3
yarim yamalak hackeri izlemek nasip oldu. Akbabalar gibi usustuler resmen...
Bu is buyuk oranda otomatige baglanmis. Gordugum kadariyla 3-4 farkli yontem
mevcut. Oncelikle su an makinemde olani bir hayli ilginc. Sisteme exploit
olan bir SSH sunucu kuruyor. Bunun yaninda /etc/init.d/unamed adinda bir tur
root kit ihtiva ediyor. Ayrica komple bir root kit olan shkit-v4' ude sisteme
kurmaya ugrasti ama nedense basarili olamadi. Sanirim bulastirdigi virusler
elini ayagini bagladi. Bu rootkitin sifresi shcr3w0wnzth1s ve 5777/tcp
uzerinden erisilebiliyor. Diger yandan, /var/tmp/samba adinda bir dizin
olusturup, buraya baska samba sunuculari arayan, smurf vs. yapmaya yarayan
cesitli toollar birakmis.
Bir digeri, sisteme sadece yeni bir kullanici eklemis. Diger yandan
/bin/login'i degistirip. /sbin'e bir kac tane local exploit kodu koymus.
Bilhassa su kerneldeki PTRACE acigina yonelmis, smb exploidi yaninda. Dahasi
acemilik diyecegim, gidip root passwd'yi degistirmis :)) Bir tek
/etc/issue'ye "sizi ne guzel hackladim" yazmadigi kalmis.
Diger bir saldirgan, SMB kodundan dalarak, sisteme benzer toollar kurmus.
Yerini su an tam hatirlamiyorum, /usr/share/locale gibi bir dizinin altinda.
Hemen hemen tum saldiri aletlerinin ortak yonu, sisteme virus bulastirmaya
cikmalari. Bunlar OSF.A ve RST.B. Her ikiside buglu kodlar ve simdiki
GLIBC2.2 ile uyumsuz. bunlar calisirsa, sistemde bazi backdoorlar
olusturuyor. RST.B Port 80'de calisan normal bir HTTP server kuruyor. Ozel
bir GET istegiyle aktif hale geliyor. Uyumsuzluk yuzunden saldiriya ugrayan
makineler cogu zaman devre disi kaliyor. Bilhassa OSF.A bulasan makineler
cogu durumda mount vb. programlarin bozulup SIGSEGV olusturmalari nedeniyle
DoS olayina tabi oluveriyor. Anladigim kadariyla bu is, otomatize edilmis
bazi script kiddie oyuncaklari ile yapiliyor. Bu viruslerde aslinda backdoor
olusturmak uzere var saniyorum.
Bu saldirilar aslinda kolay temizleniyor ama, virusleri temizlemek pek kabil
degil. Sabahtan beri sistemdeki binary'leri bir diger makineden geri almakla
ugrasiyordum.
Alinabilecek onlemlerin en basinda, 2.4.21'e kernel yukseltme ve SMB 2.2.8a'yi
kullanmak olacaktir. Bunun yaninda bilhassa network yoneticilierinin firewall
uzerinden SMB portlarini kapatmasida bir yere kadar cozum olabilir. Diger
yandan ozellikle mail server/web server vs. isletenlerin yerel login olabilen
/etc/passwd kullanicilari yerine, LDAP vs. kullanarak isleri yurutmeleri
tavsiye edilir.
Diger yandan IDS sistemlerini kullaniyorsaniz, bilhassa 5777 portlari
izlemeniz saldiriya ugramis makineleri tespit etmenizde faydali olabilir.
Osf.A ve RST.B virusleri cok eski ve son derece kotu yazilmis virusler. Bu
nedenle, herhangi bir virus temizleyici ile varliklarini ogrenebilirsiniz.
Bilhassa personel kullanim icin bedava olan f-prot tavsiye edilebilir. Zaten
bunlar koddan temizlenemiyor, silmek gerekiyor dosyayi..
Saygi ve sevgiler..