From: Güray SATICI (guray@uludag.edu.tr)
Date: Mon 30 Jun 2003 - 17:14:15 EEST
Yanlis bilmiyorsam ptrace sorunu 2.4.21 e de musallat oldu gibi ...
su an zaten 22 nin rc leri cikiyor ...
21 den cok erken umidi kestiler anlicainiz ...
Arti insanlar bir seyler yapiyorlar .. bir sekilde bulasiyorlar her yere
ve ilginctir bir cok yerde de mevcut olanlar var
artik yarim hacker lik mi yapiyorlar yoksa oyuncaklarla mi oynuyorlar bilinmez ama
cogu yerde de gezinmeye basladilar ...
Bence insanlar bir sekilde ogrenmeye bir seyler yapmaya calisiyor
Ha bi de shu var tabi ...
Kimi sistem yoneticileri de redhat in otomatik guncellemesini kullanip kendisine sistem yoneticisi havasi verebiliyor ...
Bunlara da bence bir shey denmeli ..
kotuye kotu diyorsak tabi ...
Not : Kimseyi hedef alarak soyledigim laflar degildir ... Kimse ustune alinmasin ... (Ozellikle belirtiyorum)
> Bu olay benimde ilgimi cekti. Bu is tam sektor olmus. Port tarat smb aciksa exploit dene o makinayi ele gecir sora onun uzerinden tum networke veya diger bilgisayarlara saldir. Hep gizlenmeye calisirlar ama hep siritirlar.
>
>
>
> Bahsettiginiz yarim yamalak hackerlar sanirim packetstorm mudavimleri script kiddyler olsa gerek.
>
>
>
> Bu arada bahsettiginiz ptrace acigi 2.4.7 sonrasi duzeltilmedi mi? 2.4.21 mi derlicez simdi de :o)
>
>
>
> Ayrica Redhat kullananlar
>
>
>
> http://www.rpmfind.net/linux/rpm2html/search.php?query=samba&submit=Search ...&system=redhat&arch=i386
>
>
>
> sitesinden dagitimlarina uygun samba rpmlerini indirip upgrade edebilirler. Ayrica sistemlerinin guvenli olup olmadiginida
>
>
>
> http://packetstormsecurity.nl/0304-exploits/sambal.c
>
>
>
> bu exploiti uygulayarak ogrenebilirler.
>
>
>
> Iyi calismalar.
>
> -----Original Message-----
> From: Serdar KOYLU [mailto:skoylu@gizemcafe.net]
> Sent: Monday, June 30, 2003 3:13 PM
> To: linux-guvenlik@liste.linux.org.tr; linux-ileri@liste.linux.org.tr
> Subject: [linux-guvenlik] Bazi uyarilar..
>
>
>
> Selamlar...
>
>
>
> Son cikan dagitimlarin hemen hepsi, SMB remote exploitlerinden muzdarip. Benim
>
> masaustunde kullandigim makina bir tur honeypot gibi calisiyor. Firewall
>
> uzerinde smb kapaliydi, bir ton ugrasan, ilisen vardi. 1-2 gun once actim ve
>
> dun saat 15:32 itibariyla nihayet ilk kez hacklenmeyi becerdim :)) Ben onu
>
> izlerken ne yapiyor diye, baskalari da muzarat oldu, simultane olarak 2-3
>
> yarim yamalak hackeri izlemek nasip oldu. Akbabalar gibi usustuler resmen...
>
>
>
> Bu is buyuk oranda otomatige baglanmis. Gordugum kadariyla 3-4 farkli yontem
>
> mevcut. Oncelikle su an makinemde olani bir hayli ilginc. Sisteme exploit
>
> olan bir SSH sunucu kuruyor. Bunun yaninda /etc/init.d/unamed adinda bir tur
>
> root kit ihtiva ediyor. Ayrica komple bir root kit olan shkit-v4' ude sisteme
>
> kurmaya ugrasti ama nedense basarili olamadi. Sanirim bulastirdigi virusler
>
> elini ayagini bagladi. Bu rootkitin sifresi shcr3w0wnzth1s ve 5777/tcp
>
> uzerinden erisilebiliyor. Diger yandan, /var/tmp/samba adinda bir dizin
>
> olusturup, buraya baska samba sunuculari arayan, smurf vs. yapmaya yarayan
>
> cesitli toollar birakmis.
>
>
>
> Bir digeri, sisteme sadece yeni bir kullanici eklemis. Diger yandan
>
> /bin/login'i degistirip. /sbin'e bir kac tane local exploit kodu koymus.
>
> Bilhassa su kerneldeki PTRACE acigina yonelmis, smb exploidi yaninda. Dahasi
>
> acemilik diyecegim, gidip root passwd'yi degistirmis :)) Bir tek
>
> /etc/issue'ye "sizi ne guzel hackladim" yazmadigi kalmis.
>
>
>
> Diger bir saldirgan, SMB kodundan dalarak, sisteme benzer toollar kurmus.
>
> Yerini su an tam hatirlamiyorum, /usr/share/locale gibi bir dizinin altinda.
>
>
>
> Hemen hemen tum saldiri aletlerinin ortak yonu, sisteme virus bulastirmaya
>
> cikmalari. Bunlar OSF.A ve RST.B. Her ikiside buglu kodlar ve simdiki
>
> GLIBC2.2 ile uyumsuz. bunlar calisirsa, sistemde bazi backdoorlar
>
> olusturuyor. RST.B Port 80'de calisan normal bir HTTP server kuruyor. Ozel
>
> bir GET istegiyle aktif hale geliyor. Uyumsuzluk yuzunden saldiriya ugrayan
>
> makineler cogu zaman devre disi kaliyor. Bilhassa OSF.A bulasan makineler
>
> cogu durumda mount vb. programlarin bozulup SIGSEGV olusturmalari nedeniyle
>
> DoS olayina tabi oluveriyor. Anladigim kadariyla bu is, otomatize edilmis
>
> bazi script kiddie oyuncaklari ile yapiliyor. Bu viruslerde aslinda backdoor
>
> olusturmak uzere var saniyorum.
>
>
>
> Bu saldirilar aslinda kolay temizleniyor ama, virusleri temizlemek pek kabil
>
> degil. Sabahtan beri sistemdeki binary'leri bir diger makineden geri almakla
>
> ugrasiyordum.
>
>
>
> Alinabilecek onlemlerin en basinda, 2.4.21'e kernel yukseltme ve SMB 2.2.8a'yi
>
> kullanmak olacaktir. Bunun yaninda bilhassa network yoneticilierinin firewall
>
> uzerinden SMB portlarini kapatmasida bir yere kadar cozum olabilir. Diger
>
> yandan ozellikle mail server/web server vs. isletenlerin yerel login olabilen
>
> /etc/passwd kullanicilari yerine, LDAP vs. kullanarak isleri yurutmeleri
>
> tavsiye edilir.
>
>
>
> Diger yandan IDS sistemlerini kullaniyorsaniz, bilhassa 5777 portlari
>
> izlemeniz saldiriya ugramis makineleri tespit etmenizde faydali olabilir.
>
>
>
> Osf.A ve RST.B virusleri cok eski ve son derece kotu yazilmis virusler. Bu
>
> nedenle, herhangi bir virus temizleyici ile varliklarini ogrenebilirsiniz.
>
> Bilhassa personel kullanim icin bedava olan f-prot tavsiye edilebilir. Zaten
>
> bunlar koddan temizlenemiyor, silmek gerekiyor dosyayi..
>
>
>
> Saygi ve sevgiler..
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>