From: Umut (php@kakalak.org)
Date: Tue 10 Feb 2004 - 18:22:26 EST
Merhaba,
Uzun ama taze taze... Ilgilenenlerin bilgisine, yardim etmek isteyenlerin ilgisine
sunulur..
Crosspost icin ozur. Yazdiklarimin bir kismi bir listeye bir kismi diger listeye
ait. Zaten canim burnumda. Icimden boyle yapmak geldi :)
-----
Tamamen tesaduf eseri sisteme exploit ederek girmis bir kullanici
ile ayni anda girdik... (benden bir kac saniye once girmis)
ve ben ne yaptigina baktigimda http://64.77.54.139/maniac/Kernel/h dosyasini
indirip calistirdi. o esnada reboot etmistim, sanirim ekmegine yag surdum.
Hersey an be an oldu ve ben chkrootkit ile baktigimda bolca INFECTED gordum.
Possible lpdworm ve Possible ajakit verdigi sonuclardan cikarttigim seydi.
who ile baktigimda sistemde fazladan bir root vardi.
ama ps aux ve netstat komutlari dogal olarak kim oldugunu gostermiyordu.
hatta ucuncu ve dorduncu root baglantilarini yaptigimda hala netstat tek
baglanti gosteriyordu.
NE YAPTIM?
Server uzerinde authorization keyler ile login oluyorum. Ayni zamanda
diger serverlara authorize edilmis keyler var. Hepsini suratle sildim.
Tum servisleri durdurup sistemi taradim. Ama pek cok komut degistirildigi
icin sonuc alamadim.
midnight commander ile dosyalari taradim. Degisiklikleri ( /etc icindeki
bazi dosyalarda, ornegin passwd gibi) gordum. Baglanan ip adreslerini
tespit ettim, guvenli bir yere aktardim ve poweroff komutu ile
sunucuyu kapattim.
NE YAPACAGIM?
Eger loglari hala temizlemediyse sisteme nasil exploit ettigini bulacagim.
Hemen hemen tum paketler (kernel haric) current setinden (slackware)
Eger os harici ekledigim sunuculardan guncel versiyon olmadan exploit
edilmis varsa yapacak bir sey yok, kendim kasinmisim. Yok eger guncel
versiyon olup exploit edilmisse o zaman bugtraq'a gonderecek bir
e-mailim oldu demektir.
SONUC
Su anda ilgili arkadas amacina ulasti, sunucu hizmet vermiyor.
Ancaaaak:
poweroff dedikten sonra hala ping atabiliyorum. Herhangi bir acpi ya da apm
modul yuklu degil kernelde. Dolayisiyla sistemi kapatmayacaktir. Ama
poweroff dedikten sonra hala ping atilabilmesi normal mi?
nmap ile portscan yaptim ve 1-50000 arasindaki tum portlarinin kapali
oldugunu gordum. Hala scane devam ediyorum. Herhangi bir servise
baglanamiyorum su an (dogal olarak) ama poweroff da infekte edilmis
olabilir dusuncesiyle portscane devam ediyorum.
Su anda ayri bir diske temiz bir linux kuruyorum ve servisleri elimdeki
yedeklerden konfigure ediyorum. Yarin gidip cdden boot ederek
datalarimi temiz diske aktarip sunucuyu ayaga kaldiracagim.
Sanirim bu saatte yapabileceklerim bundan ibaret.
Peki bu arkadasa karsi yapabilecegim herhangi bir mueyyide var mi?
Yoksa bir kac adam tutup dovdurmem mi gerekiyor
Arkadas TT-NET ADSL ile baglaniyor ve arkadasinin evinde ya da
bir sirkette degilse kendisini tespit etmem bir kac telefon gorusmesine
kaliyor. Sonrasinda hastaneye cicek gondermek boynumuzun borcu...
Saygilar.
Umut