[Pardus-kullanicilari] Saldırı
Ali E.İMREK
alierkanimrek at gmail.com
24 Nis 2009 Cum 14:47:10 EEST
Tecrübem yok ama öncelikle kullanmıyorsanız SSH sunucuyu kapatın gitsin,
kullanıyorsanız da portunu değiştirin.
24 Nisan 2009 Cuma 12:47 tarihinde Aşır Demirel <asir.demirel at gmail.com>yazdı:
> merhaba arkadaşlar ben özgürlük icin komun sitesini giziyordum aşağıdaki
> yazıyı okudum ve bende kendi bilgisayarımda denedim ve aşağıdaki çıktıyı
> aldım bu çıktının anlamı nedir ve benim ne yapmam gerekiyor
>
>
>
> --------------------------------------------------------------------------------------------------------------
>
> Benim Bilgisayarımdaki Çıktı
> Bim1431 ~ # find /usr/share/doc/ -exec file {} \; | grep ": data"
> /usr/share/doc/enscript-1.6.4-4/README.ESCAPES: data
> /usr/share/doc/enscript-1.6.4-4/TODO: data
> /usr/share/doc/redland-1.0.8-4/ChangeLog.1: data
>
>
> ---------------------------------------------------------------------------------------------------------------
>
> strings /usr/sbin/sshd|grep "password auth from"
> strings /usr/bin/ssh|grep "password auth to"
>
> Temiz bir makinada bu komutlar çıktı vermiyor. Ancak komutun çıktı
> vermemesi
> makinanıza girilmemiş olduğunu garantilemiyor. Farklı bir yöntem
> kullanılarak
> bilgisayarınıza girilmiş olabilir. Eğer komutlar çıktı veriyorsa bizim
> makinalarımızda kullanılan yöntem ile sizin makinanıza da girildiğinden
> emin
> olabilirsiniz.
>
> Saldırganımız çaldığı paroları /usr/share/doc ve /usr/share/locale
> altındaki
> dosyalarda şifrelenmiş bir biçimde tutuyor. "file" komutu bunları "data"
> dosyası olarak gösteriyor. Şüpheli dosyaları aramak için aşağıdaki
> komutları
> kullanabilirsiniz. Kurduğunuz paketlere göre /usr/share/doc altında
> bazı "data" dosyaları bulunuyor olabilir, bunlara tek tek bakarak
> şüphelerinizi giderebilirsiniz.
>
> find /usr/share/locale/ -exec file {} \; | grep ": data"
> find /usr/share/doc/ -exec file {} \; | grep ": data"
>
> İşletim sisteminin farklı olmasının pek faydası olmadı bu saldırıda. Debian
> ve
> Ubuntu'nun farklı sürümlerinin yanı sıra Gentoo makinalara da girildiğini
> tespit ettik. Pardus ya da Fedora gibi başka bir dağıtım kullanıyor olmanız
> sizi tek başına korumaz; parolanız ele geçirildiğinde sudo ile root
> olunabilir. Ya da -şimdilik- sadece hesabınızı etkileyen bir keylogger ile
> root parolası ele geçirilebilir.
>
> _______________________________________________
> Pardus-kullanicilari e-posta listesi
> Listeden çıkmak için
> http://liste.pardus.org.tr/mailman/listinfo/pardus-kullanicilari adresini
> kullanın.
> Listeye iletmek istediğiniz soruları Pardus-kullanicilari at pardus.org.tre-posta adresine gönderin.
> Liste mesajlarında arama yapmak için http://liste.pardus.org.tr/arama web
> sayfasına gidin.
>
--
Ali E.İMREK
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: http://liste.pardus.org.tr/pardus-kullanicilari/attachments/20090424/ed8bcc19/attachment.htm
Pardus-kullanicilari mesaj listesiyle ilgili
daha fazla bilgi