Re: Underlig process nedlægger internettet

From: Jesper Nøhr (none@jesper--noehr.org.lh.bsd-dk.dk)
Date: Sat 14 Jun 2003 - 14:26:01 CEST

Next message: Jimmy Selgen: "Re: Underlig process nedlægger internettet"
Previous message: Jesper Louis Andersen: "Re: SV: Underlig process nedlægger internettet"
In reply to: Jesper Louis Andersen: "Re: SV: Underlig process nedlægger internettet"
Next in thread: Jimmy Selgen: "Re: Underlig process nedlægger internettet"
Reply: Jimmy Selgen: "Re: Underlig process nedlægger internettet"
Reply: Jimmy Selgen: "Re: Underlig process nedlægger internettet"
Reply: Jesper Louis Andersen: "Re: Underlig process nedlægger internettet"
Reply: Flemming Jacobsen: "Re: Underlig process nedlægger internettet"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

From: Jesper Nøhr <none@jesper--noehr.org.lh.bsd-dk.dk>
To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
Subject: Re: Underlig process nedlægger internettet
Date: Sat, 14 Jun 2003 14:26:01 +0200

Hvis vi taler om services der er adgang til:
Den kører:
o Apache 1.3.27 mod_perl/1.27 PHP/4.3.1 mod_gzip/1.3.26.1a
o OpenSSH_3.4p1 FreeBSD-20020702, SSH protocols 1.5/2.0, OpenSSL
0x0090607f
o Pure-FTPd 1.0.14
o Postfix 2.0.9
o Courier-IMAP 1.7.1
o ics-dhcpd
o Samba 2.2.7a (men den er sat op så der ikke er adgang til anonyme
connections)
o MyDNS 0.9.10
o MySQL 4.0.12
o amavisd-new-20030314-p2

Jeg vil vove at påstå at de services er er forholdsvist nye, så jeg
tvivler næsten på at en af dem er kompromiseret. Jeg kan selvfølgelig
tage fejl.
Er en af disse services en sikkerhedsrisiko i sig selv?

- Jesper.

-----Oprindelig meddelelse-----
Fra: owner-bsd-dk@BSD-DK.dk [mailto:owner-bsd-dk@BSD-DK.dk] På vegne af
Jesper Louis Andersen
Sendt: 14. juni 2003 13:54
Til: bsd-dk@bsd-dk.dk
Emne: Re: SV: Underlig process nedlægger internettet

Quoting Jesper Nøhr (jesper@noehr.org):
> Arghh! Jeg kørte en ``chkrootkit'', som reporterede at LKM Trojan
> måske var installed. Jeg checkede /usr/lib/.fx, og fandt en slags
> authorized_keys file. Den indeholder:
>
> <blablabla key> root@sweettoothcandy.net
>
> Jeg _aner_ ikke hvad det er for noget, men det tillader vel root
> adgang fra det host?

Der er masser af effektive metoder til at lave rav i den når først du
ikke længere kan stole på din kerne. Hvad kørte maskinen af services?
Hvilke versioner? Det er nok mest sandsynligt at du glemte at opgradere
noget software.

> Hvad s**** skal jeg gøre for at spore svinet? :-(

Det bliver nok svært, med mindre du sætter en sniffer op og er klar over
at han ikke overlejrer sin backconnectionshell gennem en allerede
etableret TCP/IP stream (yup, det er set gjort med stor success).

Det mest kedelige i din situation er at du har installeret snort, men
sandsynligvis har negliceret væsentligere ting i forbindelse med
sikkerhed.

-- 
j.

Next message: Jimmy Selgen: "Re: Underlig process nedlægger internettet"
Previous message: Jesper Louis Andersen: "Re: SV: Underlig process nedlægger internettet"
In reply to: Jesper Louis Andersen: "Re: SV: Underlig process nedlægger internettet"
Next in thread: Jimmy Selgen: "Re: Underlig process nedlægger internettet"
Reply: Jimmy Selgen: "Re: Underlig process nedlægger internettet"
Reply: Jimmy Selgen: "Re: Underlig process nedlægger internettet"
Reply: Jesper Louis Andersen: "Re: Underlig process nedlægger internettet"
Reply: Flemming Jacobsen: "Re: Underlig process nedlægger internettet"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:29 CET