From: bilginx@boun.edu.tr
Date: Tue 01 Jul 2003 - 01:20:27 EEST
Sayin Serdar koylu,
Bu dakika dakika suren takip operasyonunda Tripware ya da Aide gibi bir yazilim
mi kullandiniz?
Tesekkurler
Bilgin
Quoting Serdar KOYLU <skoylu@gizemcafe.net>:
> Selamlar...
>
> Son cikan dagitimlarin hemen hepsi, SMB remote exploitlerinden muzdarip.
> Benim
> masaustunde kullandigim makina bir tur honeypot gibi calisiyor. Firewall
> uzerinde smb kapaliydi, bir ton ugrasan, ilisen vardi. 1-2 gun once actim ve
>
> dun saat 15:32 itibariyla nihayet ilk kez hacklenmeyi becerdim :)) Ben onu
> izlerken ne yapiyor diye, baskalari da muzarat oldu, simultane olarak 2-3
> yarim yamalak hackeri izlemek nasip oldu. Akbabalar gibi usustuler resmen...
>
> Bu is buyuk oranda otomatige baglanmis. Gordugum kadariyla 3-4 farkli yontem
>
> mevcut. Oncelikle su an makinemde olani bir hayli ilginc. Sisteme exploit
> olan bir SSH sunucu kuruyor. Bunun yaninda /etc/init.d/unamed adinda bir tur
>
> root kit ihtiva ediyor. Ayrica komple bir root kit olan shkit-v4' ude sisteme
>
> kurmaya ugrasti ama nedense basarili olamadi. Sanirim bulastirdigi virusler
> elini ayagini bagladi. Bu rootkitin sifresi shcr3w0wnzth1s ve 5777/tcp
> uzerinden erisilebiliyor. Diger yandan, /var/tmp/samba adinda bir dizin
> olusturup, buraya baska samba sunuculari arayan, smurf vs. yapmaya yarayan
> cesitli toollar birakmis.
>
> Bir digeri, sisteme sadece yeni bir kullanici eklemis. Diger yandan
> /bin/login'i degistirip. /sbin'e bir kac tane local exploit kodu koymus.
> Bilhassa su kerneldeki PTRACE acigina yonelmis, smb exploidi yaninda. Dahasi
>
> acemilik diyecegim, gidip root passwd'yi degistirmis :)) Bir tek
> /etc/issue'ye "sizi ne guzel hackladim" yazmadigi kalmis.
>
> Diger bir saldirgan, SMB kodundan dalarak, sisteme benzer toollar kurmus.
> Yerini su an tam hatirlamiyorum, /usr/share/locale gibi bir dizinin altinda.
>
>
> Hemen hemen tum saldiri aletlerinin ortak yonu, sisteme virus bulastirmaya
> cikmalari. Bunlar OSF.A ve RST.B. Her ikiside buglu kodlar ve simdiki
> GLIBC2.2+ ile uyumsuz. bunlar calisirsa, sistemde bazi backdoorlar
> olusturuyor. RST.B Port 80'de calisan normal bir HTTP server kuruyor. Ozel
> bir GET istegiyle aktif hale geliyor. Uyumsuzluk yuzunden saldiriya ugrayan
> makineler cogu zaman devre disi kaliyor. Bilhassa OSF.A bulasan makineler
> cogu durumda mount vb. programlarin bozulup SIGSEGV olusturmalari nedeniyle
> DoS olayina tabi oluveriyor. Anladigim kadariyla bu is, otomatize edilmis
> bazi script kiddie oyuncaklari ile yapiliyor. Bu viruslerde aslinda backdoor
>
> olusturmak uzere var saniyorum.
>
> Bu saldirilar aslinda kolay temizleniyor ama, virusleri temizlemek pek kabil
>
> degil. Sabahtan beri sistemdeki binary'leri bir diger makineden geri almakla
>
> ugrasiyordum.
>
> Alinabilecek onlemlerin en basinda, 2.4.21'e kernel yukseltme ve SMB
> 2.2.8a'yi
> kullanmak olacaktir. Bunun yaninda bilhassa network yoneticilierinin firewall
>
> uzerinden SMB portlarini kapatmasida bir yere kadar cozum olabilir. Diger
> yandan ozellikle mail server/web server vs. isletenlerin yerel login olabilen
>
> /etc/passwd kullanicilari yerine, LDAP vs. kullanarak isleri yurutmeleri
> tavsiye edilir.
>
> Diger yandan IDS sistemlerini kullaniyorsaniz, bilhassa 5777 portlari
> izlemeniz saldiriya ugramis makineleri tespit etmenizde faydali olabilir.
>
> Osf.A ve RST.B virusleri cok eski ve son derece kotu yazilmis virusler. Bu
> nedenle, herhangi bir virus temizleyici ile varliklarini ogrenebilirsiniz.
> Bilhassa personel kullanim icin bedava olan f-prot tavsiye edilebilir. Zaten
>
> bunlar koddan temizlenemiyor, silmek gerekiyor dosyayi..
>
> Saygi ve sevgiler..
>
>
>
>
>
>
>
>