Прочитав про взломы с измененем атрибутов /bin/ls /bin/login
Вспомнил, что меня подобным способом сломали еще где-то в районе субботнего вечера 27 января.
Взлом был обнаружен 29 января вечером.
Атака отличалась некоторыми деталями от описаных ранее:
1. Crond не использовался - были заменены скрипты запуска на предмет запуска левого демона.
/etc/rc.d/rc:
nohup /dev/cdu/b/magd 57426 named >/dev/null 2>/dev/null
2. В подкаталоге /dev/cdu/ валялся весь инструментарий для взлома (судя по всему этот каталог использовался как $HOME ).
/dev/cdu/:
drwxr-sr-x 2 root root 1024 Jan 29 17:51 b
-rw-r--r-- 1 root root 107 Jan 27 06:25 hide
-rwxr-xr-x 1 root root 63 Jan 27 01:28 idle
-rwxr-xr-x 1 root root 1558 Jan 27 02:19 remlog
-rwxr-xr-x 1 root root 15742 Jan 27 01:30 stream
-rwxr-xr-x 1 root root 16215 Jan 27 06:04 strobe
-rwxr-xr-x 1 root root 115576 Jan 27 01:26 wget
/dev/cdu/b:
-rwxr-xr-x 1 root root 9500 Jan 27 01:36 bliz
-rwxr-xr-x 1 root root 3244 Jan 27 01:36 catks
-rwxr-xr-x 1 root root 11460 Jan 27 01:36 magd
-rw-r--r-- 1 root root 4 Jan 29 17:51 magd.pid
-rwxr-xr-x 1 root root 8276 Jan 27 01:36 pong
-rwxr-xr-x 1 root root 6308 Jan 27 01:36 raped
-rwxr-xr-x 1 root root 6924 Jan 27 01:36 slice2
-rwxr-xr-x 1 root root 6036 Jan 27 01:36 stream
-rwxr-xr-x 1 root root 5932 Jan 27 01:36 synk5
-rwxr-xr-x 1 root root 6060 Jan 27 01:36 synk6
3. Новые либы в /usr/lib/
-rwxr-xr-x 1 root root 20292 Jan 27 02:19 lib-gblo.1.3.so
-rwsr-sr-x 1 root root 373176 Jan 27 15:25 libsh-1.1.3.4.so
4. Были запущены процессы
./stream 194.145.128.244
и ./catks
(На этом взлом и был обнаружен: люблю иногда посмотреть что в системе запущено.)
5. Неинформативные сообщения в /var/log/messages
Jan 31 18:11:30 alpha kernel: 00.
Jan 31 18:11:38 alpha last message repeated 5 times
Jan 31 18:11:39 alpha kernel: 000.
Jan 31 18:11:40 alpha kernel: 00.
Jan 31 18:12:09 alpha last message repeated 26 times
Jan 31 18:12:10 alpha kernel: 000.
Jan 31 18:12:11 alpha kernel: 00.
Jan 31 18:12:44 alpha last message repeated 28 times
Jan 31 18:12:52 alpha last message repeated 11 times
Все остальное - как описано ранее (т.е. замена атрибутов, подмена login, ps, named, inetd).
Вычищалось все
0. Заменой BINDa.
1. Проверкой файлов по базе RPM ().
2. Поиск по расширенным атрибутам.
3. Поиском ничейных файлов, подозрительных по дате (27 янв).
У кого какие мысли по поводу того как ломают?
P.S Система - Redhat 6.0.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Похожие темы
- Форум Couldn't find intarface ppp0: No such device (2002)
- Форум ArchLinux проблема с подключением к сети (2020)
- Форум mkisofs / k3b делает битый UDF образ (2013)
- Новости Подробности про взлом Debian (2003)
- Форум Почта.. (2001)
- Форум Опубликованы технические подробности взлома iPhone 3.0 (2009)
- Форум Как использовать vdpau в ffmpeg? (2024)
- Форум Взлом (2017)
- Форум Взлом (2003)
- Форум взлом? (2005)