[FreeBSD] Fwd: Red Hat compromise

Adam Szilveszter sziszi at bsd.hu
2001. Május. 17., Cs, 11:45:23 CEST 

On Thu, May 17, 2001 at 11:15:43AM +0200, Gabor Dolla wrote:
> mondjuk az nem derult ki, hogy pontosan milyen hibat hasznaltak ki...

Telleg nem, ha elolvastad a levelet ami elotte van akkor pont azt kerdezi,
hogy segiccsen mar neki valaki. Nem tunik ver profinak az biztos. Mivel
azonban en nem beszelni Linux nagyon, RH meg kicsit se, ezert csak annyit
tehetek, hogy szornyulkodok azon, hogy hogy lehet ennyi szolgaltatast csak
ugy nyitvahagyni. Pl 10-bol 10 az eselye annak, hogy a DNS felesleges volt.
IMAP? Brrrr. NNTP? Minek? Ki az akinek akkora forgalma van, hogy sajat news
server kell neki? Es ha igen, akkor ert is hozza? (Nem hiszem.) Ez olyan,
mintha valaki "csak ugy" felrak egy irc szervert es csodalkozik, hogy
onnantol nincs vege a sz***pasnak. A DNS, a news es az irc/chat szerver
adminisztracio kulon kaszt, nem sokan ertenek hozza jol. Es persze IMHO
egyiknek sincs helye nem dedikalt gepen. Idealisan levelezoszervernek is
kulon gepen kellene lennie. A Linux-os PC-k megjelenesevel gyakoriva valo
"All in One" megoldasok hogy web+shell+ftp+mail+tuzfal+meg anyam kinnya
hullara nagy rizikot hordoznak. Eleg egy kis hiba es... meg az
apache.org-ot is felnyomtak egyszer igy, es csak a h4x0r rendessegen mult,
hogy nem nyomott azonnal egy kafa backdoort az akkor letoltheto apache
szoftverbe... kivancsi vagyok mennyi ido mulva jottek volna ra... 

> >     6550 stream tcp nowait root /bin/sh sh -i
> > which provides a nice back door and indicates perpetrator had root access.
> 
> namarmost: ha a 6550 kivulrol nem tud bejonni, akkor vagy a routert is
> atkonfigtak, vagy belulrol jottek
> vagy nem volt NAT-olos router a szerver elott
> vagy en tok rosszul tudom, es valahogy be lehet menni NAT moge, akkor
> viszont valaki vilagositson mar fel...

Ha csak NAT-olsz es nem hasznalsz megfelelo tuzfal szabalyokat hozza,
akkor pl igy: valaki megtudja, hogy te milyen IP address tartomanyt
hasznalsz a NAT mogott (nem nehez, a legtobben csak masoljak a doksikat,
ugyhogy azt a nehany rezervalt tartomanyt kell kiprobalni) es ezutan egy
olyan csomagot "fabrikalsz" amelyik azt allitja, hogy o a te LAN-odrol
jott. A NAT ezzel nem csinal semmit, ha nincs olyan tuzfal rule, hogy kulso
interfeszen marpedig nem johet csomag ami az en LAN-omrol valo akkor siman
beengedi es kesz. Ez persze mondjuk a rezervalt IP tartomanyoknal csak
akkor mukodik, ha nincs router koztetek (vagy az is hibas es nem dobja el
az ilyen csomagokat) igy pl egy xDSL vagy kabel szolgaltato hatalmas
szegmensein nagyon jol lehet ezzel jatszani... meg a sniffer...
heaven. A legtobben nem is sejtik miert ker pl a Tvnet kulon let azert,
hogy kizarolagos szegmens hasznalatot biztositson...  

Hogy a konkret esetben mi tortent nem tudom es nem is mint az uj "killer"
betoresi technikat szandekoztam itt bejelenteni, csak egy tipikus
peldakent, amikor valami szoftver hiba melle egy adag emberi
figyelmetlenseg es tudashiany is jarul es maris => konnyen bumm lehet a
vege.

Na talan majd a mai nap folyaman megtudjuk a tobbit, az amik meg
alszanak:-)

Udv:
Sz.
-- 
-------------------------------------------------------------------------------
* Adam Szilveszter * JATE Szeged * email: sziszi at petra.hos.u-szeged.hu *
* Honlap : nincs * alternativ email: sziszi at bsd.hu *
* PGP kulcs: Fingereld a sziszi at petra.hos.u-szeged.hu cimet! *
* FreeBSD: tisztabb, szarazabb, biztonsagosabb erzes...! *

További információk a(z) BSD levelezőlistáról