Betores

[Attila Szekely]

Udvozlom a BSD lista tagjait,


Szekely Attila vagyok, a Net Management Kft-tol, ez a ceg a tulajdonosa es
uzemeltetoje a szervernek, ami jopar domain www es mail forgalmat bonyolitja
le, es amit a napokban "tortek" fel.

Kedves Tornyossy Csaba!

you wrote:
"Igy, bar azota mint megtudtam a gep egy bsd-s tarsunke volt, mar csak
ezertis sajnalom a dolgot, es ezuton kernek elnezest mindenkitol akit illet,
es akit megillet"

Ez valoszinuleg valami felreertes, a szerver nem egy bsd-s tarsatoke, a Net
Management Kft tulajdonaban all.
Sajat bevallasod szerint tevekenyen reszt vettel a feltoresben, de a gepen
nem jartal. Ezt, es egy ilyen tetthez elegendo tudasotokat sem tamasztja ala
a .bash_history amit otthagytatok:

reszlet .bash_history:

"adduer tonyo
adduser tonyo
useradd tonyo
rm bash_history
ls b*
cd..
cd .."

mivel a pontot elfelejtettetek, igy maradt fennt a
bash_history, rengeteg a nyomozas szamara hasznos informacioval...

....

"ln -s /dev/null acces_log
ln -s /dev/null error_log"

Sajnos az access -t 2 db. s-sel irjak, igy rank maradt meg 1 ratok nezve
terhelo jellegu log.

ehhez nem lehet tul sokmindent hozzafuzni, hacsaknem azt, hogy ennyi
tapasztalattal es hozzaertessel is fel lehet torni egy szervert, a mas altal
megirt exploitokat felhasznalva. Mar csak az a kerdesunk, hogy mi volt a
celotok vele? Erofitogtatas, netan ego-boost? Ha esetleg valami olyan
tartalom lett volna fenn a site-okon, ami ratok nezve serto, negativ, akkor
vilagosabb lenne a dolog, de igy?

A ceg vezetese meg nem fordult a rendorseghez, csak belso nyomozas folyt, s
bar egyertelmu bizonyitekok vannak a kezunkben, a vegso dontes meg nem
szuletett meg. Mindenkeppen pozitivan vennenk egy reszletest leirast a
betores meneterol, az igenybevett eszkozokrol, es a kihasznalt
vulnerabilitykrol, amivel sikerult root jogot szerezni.

Termeszetesen ez a betores minket is minosit, hiszen nem figyeltunk elegge
oda a szerverre, de ugy gondoljuk, van ennel racionalisabb modja is a
rendszergazda figyelmenek biztonsagi lyukakra valo felkeltesere. Akarhogyan
is dontunk, bizunk benne, hogy vagy igy, vagy ugy, de a tetteseknek ez volt
az utolso "hacker" akciojuk.

Ugy gondoljuk, ez a tett nem egyeztetheto ossze a BSD Egyesulet
hozzallasaval, es bizunk benne hogy az egyesulet tagjainak nagy resze
elutasitja az ilyen jellegu magatartast.

Csaba, toled pedig mielobb varjuk a beszamolot (a fenti email cimre johet).

udvozlettel: Szekely Attila