DNS ПРОБЛЕМА! Как можно через DNS получить доступ root-a

0

0

Проблема! Есть подозрение, что через DNS получили доступ root к шлюзу! Вопрос : Каким способом это сделали и как это предотвратить. (Был включен ipchains, host.dany, и т.д., в логах - чисто)

Ссылка

← Fetchmail??? Выручайте...

404 Not Found - как сделать свою заставку →

Версия bind?
Chroot? Static compile?

sandman ★
(18.09.00 18:07:05 MSK)

Ссылка

name -u ... -g ... -t ....

antoxa ★
(18.09.00 18:59:49 MSK)

Ссылка

Версия 8.2.1, а что есть name (по-подробнее)?

ssv ★
(19.09.00 14:06:40 MSK) автор топика

Ссылка

Не совсем понятно, а откуда взялись подозрения?

anonymous
(19.09.00 14:18:50 MSK)

Ссылка

История событий:
Давеча упал DNS сервер, соответсвеено проверил логи и возможные
правки в системе - в логах чисто, НО обнаружил в /var/named
созданный каталог root-ом
спустя дня три опять упал DNS сервер И !!!
- в /tmp/ создан файл root-ом .w со строкой
55559 stream tcp nowait root /bin/sh sh -i
- в host.allow ALL:ALL
- активный порт 55559

Последствия понятны, НО как это было сделано ?
(Консоль была под root-ом, но с нее ни чего не делали)

ssv ★
(19.09.00 14:46:04 MSK) автор топика

Ссылка

Строка явно из /etc/inetd.conf. Точнее, туда предназначалась. 111 порт открыт? 23 открыт?

anonymous
(19.09.00 15:08:32 MSK)

Ссылка

Включен ipchains и соответственно закрыты порты до 1024
в host.deny :

in.rshd:ALL
in.rlogind:ALL
in.telnetd:ALL

in.ftpd:ALL
tftpd:ALL

ipop3d:ALL

ssv ★
(19.09.00 17:11:55 MSK) автор топика

Ссылка

sorry, не name, а named

antoxa ★
(20.09.00 08:57:58 MSK)

Ссылка

Через DNS нельзя получить доступ ни root-ом ни кем бы то ни было. Надо копать в других местах. А откуда взялась уверенность, что с консоли ничего не делали? А с локалки правила на ipchains тоже и те же стоят?

anonymous
(20.09.00 12:24:14 MSK)

Ссылка

ну ты родил, ты думай в следующий раз что говоришь, bind-ы та еще дырища и рута получить через нее проблем нет (если конечно они не пропатчены) to ssv да тебя походу ломанули, налицо яркий пример buffer overflow когда упал днс была исполнена некая последовательность команд которая и открыла шелл на 55559 порту а бороться с этим просто ставь bind-ы 8.2.2 (вроде пока не дырявая) и запускай их не из под рута, как это сделать, на этой конференции где-то было написано

anonymous
(21.09.00 09:04:07 MSK)

Ссылка

А можно-ли по подробнее - как сломать.
Хочу повторить, что-б быть уверенным что пробема здесь?

ssv ★
(21.09.00 15:32:23 MSK) автор топика

по подробнее почитай на void.ru есть статья про buffer owerflow лень мне тут лекции читать, а на счет уверенности то сам же говорил что bind-ы упали, а они поверь мне просто так никогда не падают, да и сам же говоришь что порты закрыты

anonymous
(22.09.00 09:28:06 MSK)

Ссылка

Собрать bind с дебагом и проанализировать кору. Найдешь где, напиши автору.

vodz ★★★★★
(22.09.00 17:20:19 MSK)

Ссылка

Ответ на: комментарий от ssv 21.09.00 15:32:23 MSK

Ломать так:

Здесь можно найти exploits: www.securityfocus.com,
http://www.securityfocus.com/frames/?content=/vdb/bottom.html%3Fvid%3D788

Здесь описаны баги: http://www.cert.org/advisories/CA-1999-14.html,
ftp://ftp.cert.org/pub/cert_summaries/CS-98.05

Здесь как защитить: http://www.psionic.com/papers/dns/dns-linux/

sandman ★
(27.09.00 12:13:49 MSK)

Ссылка

9 октября 2001 г.

DNS ПРОБЛЕМА!

Можно ли зная верный ДНС провайдера ходить по серверам через эксплоер если есть коннект с провайдером Но странички просто не открываются Кроме как HTTPS://

anonymous
(09.10.01 20:39:37 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← Fetchmail??? Выручайте...

Admin

404 Not Found - как сделать свою заставку →

Ломать так:

DNS ПРОБЛЕМА!

Похожие темы