From: ATILIM BOY (boyatilim@yahoo.com)
Date: Mon 30 Jun 2003 - 17:24:44 EEST
Tesekkurler Serdar hocam paylasimin icin...
ATILIM BOY
--- Serdar Koylu <serdarkoylu@fisek.com.tr> wrote:
> Selamlar...
>
> Son cikan dagitimlarin hemen hepsi, SMB remote
> exploitlerinden muzdarip. Benim
> masaustunde kullandigim makina bir tur honeypot gibi
> calisiyor. Firewall
> uzerinde smb kapaliydi, bir ton ugrasan, ilisen
> vardi. 1-2 gun once actim ve
> dun saat 15:32 itibariyla nihayet ilk kez
> hacklenmeyi becerdim :)) Ben onu
> izlerken ne yapiyor diye, baskalari da muzarat oldu,
> simultane olarak 2-3
> yarim yamalak hackeri izlemek nasip oldu. Akbabalar
> gibi usustuler resmen...
>
> Bu is buyuk oranda otomatige baglanmis. Gordugum
> kadariyla 3-4 farkli yontem
> mevcut. Oncelikle su an makinemde olani bir hayli
> ilginc. Sisteme exploit
> olan bir SSH sunucu kuruyor. Bunun yaninda
> /etc/init.d/unamed adinda bir tur
> root kit ihtiva ediyor. Ayrica komple bir root kit
> olan shkit-v4' ude sisteme
> kurmaya ugrasti ama nedense basarili olamadi.
> Sanirim bulastirdigi virusler
> elini ayagini bagladi. Bu rootkitin sifresi
> shcr3w0wnzth1s ve 5777/tcp
> uzerinden erisilebiliyor. Diger yandan,
> /var/tmp/samba adinda bir dizin
> olusturup, buraya baska samba sunuculari arayan,
> smurf vs. yapmaya yarayan
> cesitli toollar birakmis.
>
> Bir digeri, sisteme sadece yeni bir kullanici
> eklemis. Diger yandan
> /bin/login'i degistirip. /sbin'e bir kac tane local
> exploit kodu koymus.
> Bilhassa su kerneldeki PTRACE acigina yonelmis, smb
> exploidi yaninda. Dahasi
> acemilik diyecegim, gidip root passwd'yi degistirmis
> :)) Bir tek
> /etc/issue'ye "sizi ne guzel hackladim" yazmadigi
> kalmis.
>
> Diger bir saldirgan, SMB kodundan dalarak, sisteme
> benzer toollar kurmus.
> Yerini su an tam hatirlamiyorum, /usr/share/locale
> gibi bir dizinin altinda.
>
> Hemen hemen tum saldiri aletlerinin ortak yonu,
> sisteme virus bulastirmaya
> cikmalari. Bunlar OSF.A ve RST.B. Her ikiside buglu
> kodlar ve simdiki
> GLIBC2.2 ile uyumsuz. bunlar calisirsa, sistemde
> bazi backdoorlar
> olusturuyor. RST.B Port 80'de calisan normal bir
> HTTP server kuruyor. Ozel
> bir GET istegiyle aktif hale geliyor. Uyumsuzluk
> yuzunden saldiriya ugrayan
> makineler cogu zaman devre disi kaliyor. Bilhassa
> OSF.A bulasan makineler
> cogu durumda mount vb. programlarin bozulup SIGSEGV
> olusturmalari nedeniyle
> DoS olayina tabi oluveriyor. Anladigim kadariyla bu
> is, otomatize edilmis
> bazi script kiddie oyuncaklari ile yapiliyor. Bu
> viruslerde aslinda backdoor
> olusturmak uzere var saniyorum.
>
> Bu saldirilar aslinda kolay temizleniyor ama,
> virusleri temizlemek pek kabil
> degil. Sabahtan beri sistemdeki binary'leri bir
> diger makineden geri almakla
> ugrasiyordum.
>
> Alinabilecek onlemlerin en basinda, 2.4.21'e kernel
> yukseltme ve SMB 2.2.8a'yi
> kullanmak olacaktir. Bunun yaninda bilhassa network
> yoneticilierinin firewall
> uzerinden SMB portlarini kapatmasida bir yere kadar
> cozum olabilir. Diger
> yandan ozellikle mail server/web server vs.
> isletenlerin yerel login olabilen
> /etc/passwd kullanicilari yerine, LDAP vs.
> kullanarak isleri yurutmeleri
> tavsiye edilir.
>
> Diger yandan IDS sistemlerini kullaniyorsaniz,
> bilhassa 5777 portlari
> izlemeniz saldiriya ugramis makineleri tespit
> etmenizde faydali olabilir.
>
> Osf.A ve RST.B virusleri cok eski ve son derece kotu
> yazilmis virusler. Bu
> nedenle, herhangi bir virus temizleyici ile
> varliklarini ogrenebilirsiniz.
> Bilhassa personel kullanim icin bedava olan f-prot
> tavsiye edilebilir. Zaten
> bunlar koddan temizlenemiyor, silmek gerekiyor
> dosyayi..
>
> Saygi ve sevgiler..
>
>
__________________________________
Do you Yahoo!?
SBC Yahoo! DSL - Now only $29.95 per month!
http://sbc.yahoo.com