[BSD] ismeretlen problema - hack

Potoczky Andras andras007 at freemail.hu
2003. Júl. 27., V, 21:05:24 CEST 

Hello


>MK> 2. valaki feltorte a gepet, es felrakott egy linuxos rootkitet. (Aztan rajott,
>MK> hogy ez megsem linux?) En ezt tartanam valoszinunek.
>
Hozzam kerult  a gep es valoban ugy nez ki, hogy feltortek.

Bar a logokbol ugy tunik mindent kitorolt az illeto, de azert van nehany 
dolog.
Tenyleg linux gepkent kezelte. Pl szeretett volna a legkozelebbi restart 
utan futtatni nehany dolgot, de nem talalta a /etc-ben levo rc.d 
konyvtarakat, amiket letrehozott. Persze ettol meg ugyanugy nem 
futhatott le a dolog.
Ezen felul meg csinalt inittab file-t is, amibe beleirkalta azon 
dolgokat, amit szeretett volna meg futtatni.
A cel egy /usr/sbin/".." konyvtar nehany file-ja.
Ugy tunik, hogy DoS cuccokat rakott fel es van egy script is, ami talan 
ezeknek a cuccok sokszori futtatasara keszult.
Ezeken kivul van bitchx, ssh hackelo? cucc. Mirkforce, synscan, egy 
ujabb nmap, logwifer, meg egy teljes trojan atomgyar es nehany egyeb 
dolog, pl FreeBSD rootkit.
Mondjuk, ha rajott, hogy ez FreeBSD, akkor nem ertem miert szarozott az 
inittab-bal meg az /etc/rc.d konyvtarakkal.
Ezeken kivul nyitott a 2224-es porton egy ujabb ssh szervert, amihez 
sajat config tarsult egy masik helyen a szokasostol elteroen.

Egyebkent a gepen mindossze net megosztas (ipnat) es egy samba futott es 
a 135-139-ig terjedo portok zarva voltak az internet felol. (sok mas is..)
Szerintetek hogyan lehetne rajonni ezek fenyeben, hogy honnan es hogyan 
torhetett be?
Feltetelezem, amiket a gepen talalok, azok csak olyan cuccok, amikkel 
tovabb tamadhatott egy masik gepet. A logok mind uresek. Gondolom 
takaritott, miutan vegzett.
Szoval hogyan lehetne kideriteni, hogy hogyan torhetett be es talan 
ennek fenyeben ez ellen lehetne vedekezni.

Egyebkent FreeBSD 4.8 (volt... ujrahuzom) ipfw tuzfal (ugy tunik az 
altalam irt nem eleg hatekony)

Meg fogom tartani egy darabig az itt hagyott cuccokat vizsgalatra, hatha 
meg valami erdekes kiderulne belole.


Udv
  Andras

ui.: remelem ti nem talalkoztok ilyen problemaval, de azert tudtok 
segiteni ;)

További információk a(z) BSD levelezőlistáról