Новая серия взломов - подробности

0

0

Прочитав про взломы с измененем атрибутов /bin/ls /bin/login
Вспомнил, что меня подобным способом сломали еще где-то в районе субботнего вечера 27 января.
Взлом был обнаружен 29 января вечером.
Атака отличалась некоторыми деталями от описаных ранее:

1. Crond не использовался - были заменены скрипты запуска на предмет запуска левого демона.
/etc/rc.d/rc:
nohup /dev/cdu/b/magd 57426 named >/dev/null 2>/dev/null

2. В подкаталоге /dev/cdu/ валялся весь инструментарий для взлома (судя по всему этот каталог использовался как $HOME ).
/dev/cdu/:
drwxr-sr-x 2 root root 1024 Jan 29 17:51 b
-rw-r--r-- 1 root root 107 Jan 27 06:25 hide
-rwxr-xr-x 1 root root 63 Jan 27 01:28 idle
-rwxr-xr-x 1 root root 1558 Jan 27 02:19 remlog
-rwxr-xr-x 1 root root 15742 Jan 27 01:30 stream
-rwxr-xr-x 1 root root 16215 Jan 27 06:04 strobe
-rwxr-xr-x 1 root root 115576 Jan 27 01:26 wget
/dev/cdu/b:
-rwxr-xr-x 1 root root 9500 Jan 27 01:36 bliz
-rwxr-xr-x 1 root root 3244 Jan 27 01:36 catks
-rwxr-xr-x 1 root root 11460 Jan 27 01:36 magd
-rw-r--r-- 1 root root 4 Jan 29 17:51 magd.pid
-rwxr-xr-x 1 root root 8276 Jan 27 01:36 pong
-rwxr-xr-x 1 root root 6308 Jan 27 01:36 raped
-rwxr-xr-x 1 root root 6924 Jan 27 01:36 slice2
-rwxr-xr-x 1 root root 6036 Jan 27 01:36 stream
-rwxr-xr-x 1 root root 5932 Jan 27 01:36 synk5
-rwxr-xr-x 1 root root 6060 Jan 27 01:36 synk6

3. Новые либы в /usr/lib/
-rwxr-xr-x 1 root root 20292 Jan 27 02:19 lib-gblo.1.3.so
-rwsr-sr-x 1 root root 373176 Jan 27 15:25 libsh-1.1.3.4.so

4. Были запущены процессы
./stream 194.145.128.244
и ./catks
(На этом взлом и был обнаружен: люблю иногда посмотреть что в системе запущено.)
5. Неинформативные сообщения в /var/log/messages
Jan 31 18:11:30 alpha kernel: 00.
Jan 31 18:11:38 alpha last message repeated 5 times
Jan 31 18:11:39 alpha kernel: 000.
Jan 31 18:11:40 alpha kernel: 00.
Jan 31 18:12:09 alpha last message repeated 26 times
Jan 31 18:12:10 alpha kernel: 000.
Jan 31 18:12:11 alpha kernel: 00.
Jan 31 18:12:44 alpha last message repeated 28 times
Jan 31 18:12:52 alpha last message repeated 11 times

Все остальное - как описано ранее (т.е. замена атрибутов, подмена login, ps, named, inetd).

Вычищалось все
0. Заменой BINDa.
1. Проверкой файлов по базе RPM ().
2. Поиск по расширенным атрибутам.
3. Поиском ничейных файлов, подозрительных по дате (27 янв).

У кого какие мысли по поводу того как ломают?
P.S Система - Redhat 6.0.

Ссылка

Зависит от того, что у тебя дырявое было...
Тактика современного script-kidie - просканить десяток сеток класса C в поисках дырки, потом заэксплоитить то, что нашел...

ivlad ★★★★★
(26.02.01 19:14:58 MSK)

Ну вот наконец то ......
Свершилось !!! Ура остановили мой bind 8.2.2 patchlevel5
с запосданием на 3-и недели !!!! долго ждать однако пришлось :-(

Ну так как оно было chroot и не под root то все в обломе !
Нет ни файлов не изменений просто он встал и неоткликался .

Чего и вам желаю :-)

PS:Будем ожидать эксплойтов на тему chroot сервисов ооо это уже
интерестнее :-)

Кстати а на /etc/rc.d как и на /var/spool/cron
лучше +i и жизнь спокойнее будет :-)

Чего и вам желаю !

Ктонибуть самбу chroot-тил ? а то у меня никак руки недойдут с ней разобраться !

Aleks_IZA ★
(27.02.01 08:36:56 MSK)

ну я chroot-ил. живет пока.

lb ★
(28.02.01 18:54:59 MSK)

Похожие темы