Valery's Mlog

Mindlog of a Freak
February 20th, 2005 by Valery Dachev

Хак3ри ? Ха-ха :)

Днес едно приятелче ми се оплака, че го били root-нали и ме помоли да направя нещо по въпроса, защото беше на 200км от машината си. Става въпрос за едно Debian рутерче, което стои у тях и разпределя Интернета между него и съседите му, а и върши няколко допълнителни неща като Local Master Browser, Web сървър, DNS и разни такива. Hax0r-ът се бе сдобил от потребителски акаунт през известна уязвимост на phpBB (там с версия 2.0.10), а от там и с администраторски акаунт чрез ptrace/kmod уязвимостта в ядрото (там с версия по подразбиране 2.4.18-bf2.4). Отделно друг пропуск беше, че Samba беше оставена да слухти и на Интернет интерфейса, като позволяваше достъп със системен (в частност root) акаунт (за да улесни допълнително хакерчето при качването на файлове).

Нямах много време, а задачата ми беше да пооправя нещата, докато машината бъде преинсталирана. А недоумиците на псевдо-хакерчето въобще не бяха малко:

  • беше сменил root-паролата: Страшно тъпо ! Можеше успехът му да остане незабелязан;
  • не бе зачистил log-овете: всичките услуги, през които се беше пробвал, старателно бяха записали активността му (wtmp, samba, apache,…);
  • качил си бе backdoor без парола: за да може всеки без shell (цяло чудо, че не е сменил паролите на потребителските) да влезе в системата;
  • не беше затрил exploit-ите си: във /var/tmp беше си оставил изходните кодове както на backdoor-ите, така и на exploit-ите. Това включва и скрипта, който ги компилира и пуска един по един, докато се добере до root. Благодарение на това му изпълнение, просто root-нах обратно машината с неговия си exploit и закрепих системата;

Всеки може да си направи изводите и за едната и за другата страна.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: