[Pardus-kullanicilari] Saldırı
Aşır Demirel
asir.demirel at gmail.com
24 Nis 2009 Cum 12:47:12 EEST
merhaba arkadaşlar ben özgürlük icin komun sitesini giziyordum aşağıdaki
yazıyı okudum ve bende kendi bilgisayarımda denedim ve aşağıdaki çıktıyı
aldım bu çıktının anlamı nedir ve benim ne yapmam gerekiyor
--------------------------------------------------------------------------------------------------------------
Benim Bilgisayarımdaki Çıktı
Bim1431 ~ # find /usr/share/doc/ -exec file {} \; | grep ": data"
/usr/share/doc/enscript-1.6.4-4/README.ESCAPES: data
/usr/share/doc/enscript-1.6.4-4/TODO: data
/usr/share/doc/redland-1.0.8-4/ChangeLog.1: data
---------------------------------------------------------------------------------------------------------------
strings /usr/sbin/sshd|grep "password auth from"
strings /usr/bin/ssh|grep "password auth to"
Temiz bir makinada bu komutlar çıktı vermiyor. Ancak komutun çıktı vermemesi
makinanıza girilmemiş olduğunu garantilemiyor. Farklı bir yöntem kullanılarak
bilgisayarınıza girilmiş olabilir. Eğer komutlar çıktı veriyorsa bizim
makinalarımızda kullanılan yöntem ile sizin makinanıza da girildiğinden emin
olabilirsiniz.
Saldırganımız çaldığı paroları /usr/share/doc ve /usr/share/locale altındaki
dosyalarda şifrelenmiş bir biçimde tutuyor. "file" komutu bunları "data"
dosyası olarak gösteriyor. Şüpheli dosyaları aramak için aşağıdaki komutları
kullanabilirsiniz. Kurduğunuz paketlere göre /usr/share/doc altında
bazı "data" dosyaları bulunuyor olabilir, bunlara tek tek bakarak
şüphelerinizi giderebilirsiniz.
find /usr/share/locale/ -exec file {} \; | grep ": data"
find /usr/share/doc/ -exec file {} \; | grep ": data"
İşletim sisteminin farklı olmasının pek faydası olmadı bu saldırıda. Debian ve
Ubuntu'nun farklı sürümlerinin yanı sıra Gentoo makinalara da girildiğini
tespit ettik. Pardus ya da Fedora gibi başka bir dağıtım kullanıyor olmanız
sizi tek başına korumaz; parolanız ele geçirildiğinde sudo ile root
olunabilir. Ya da -şimdilik- sadece hesabınızı etkileyen bir keylogger ile
root parolası ele geçirilebilir.
Pardus-kullanicilari mesaj listesiyle ilgili
daha fazla bilgi