[LUGOS-SEC] Hacked?
Jure Koren
jure at aufbix.org
Mon Jul 7 13:30:50 CEST 2003
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Viestissä Maanantai 07 Heinäkuuta 2003 13:09, Nejc Skoberne kirjoitti:
> root at Masina:/var/spool/hylafax/etc# init q
> /dev/null
> RK_Init: idt=0xc03a7000, sct[]=0xc0341834, FUCK: Can't find kmalloc()!
> A je kdo ze videl kaj takega?
FUCK: Can't find kmalloc()! je videt kot sporocilo ob neuspelem
poskusu exploitanja kaksnega buffer overruna, ko koda ne zna najt
naslova kamor bi rada skocila, da lahko pocne grde reci. V tem
primeru gre verjetno za nalaganje modula, ki skrije rootkit pred
administratorjem. Na produkcijskih masinah je fino, ce kernel ne
zna nalagat modulov. RK_Init bi pa lahko z malo domisljije razsiril
v RootKit_Init, ane.
> Bral sem nekaj arhivov mailing list in ponekod pise, da to naredijo
> rootkiti. Masina je online 3 dni in je kar fajn firewallana. Laufajo
> naslednji servisi:
[snip]
> Kaksna ideja? Vdor?
Najverjetneje. Tripwire te sicer ne zasciti pred vdorom, ti pa zelo
jasno odgovori na takole vprasanje. In "fajn firewallana" v bistvu
ne pomeni nic, ce lahko nepooblascenci dostopajo do sistemov, ki jih
Masina obravnava kot zaupanja vredne.
V takem primeru je obicajno najbolje masino postavit na hub (ali pa
mirrorat port, ce switch to zna), zraven postavit se eno masino, ki
spremlja promet in _vsega_ logira. Iz teh podatkov obicajno lahko
izluscis dovolj informacij, da nepridiprava sledis naprej po masinah,
v katere je vdrl in ce imas dovolj srece, da zadanes na loteriji, in
je mulo, ki vdira, dovolj neumen, potem ga imas.
- --
Jure Koren, n.i.
jure at aufbix.org, GPG pubkey @ http://aufbix.org/~i/public.key
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (GNU/Linux)
iD8DBQE/CVnv9iFCvmuhrCIRAvHVAJ0eXpuAByGJGAb3eMZmBNIJZW9gJACg1wcg
PBp7lUnzLLnj8iBnmMvz0+0=
=Z6tW
-----END PGP SIGNATURE-----
More information about the lugos-sec
mailing list