/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Fedora Core 3
Fra : Jan Birk


Dato : 02-12-06 17:15

Hi,

Er der nogen som har en Fedoare Core 3 kørende. Hvis ja, kan jeg så
lokke dig til at liste en md5sum på ls, find, netstat?


Pft

/Jan

 
 
Ukendt (02-12-2006)
Kommentar
Fra : Ukendt


Dato : 02-12-06 17:43

On Sat, 02 Dec 2006 17:14:34 +0100
Jan Birk wrote:
> Er der nogen som har en Fedoare Core 3 kørende. Hvis ja, kan jeg så
> lokke dig til at liste en md5sum på ls, find, netstat?

$ uname -r
2.6.12-1.1381_FC3smp
$ md5sum /bin/ls
d6b83225471f3a49172634c8c222cdde /bin/ls
$ md5sum /usr/local/gnu/bin/find
d98feb481ac8356f171a19802e012ac8 /usr/local/gnu/bin/find
$ md5sum /bin/netstat
8728e20ba4ad211b3f1af31588c62dae /bin/netstat

--
   Jonathan

Jan Birk (02-12-2006)
Kommentar
Fra : Jan Birk


Dato : 02-12-06 18:13

> $ md5sum /bin/ls
> d6b83225471f3a49172634c8c222cdde /bin/ls
> $ md5sum /bin/netstat
> 8728e20ba4ad211b3f1af31588c62dae /bin/netstat

Mange tak. Det ser vist ikke så godt ud i min ende

/Jan

Peter Dalgaard (02-12-2006)
Kommentar
Fra : Peter Dalgaard


Dato : 02-12-06 17:50

Jan Birk <jb@invalid.domain.null> writes:

> Hi,
>
> Er der nogen som har en Fedoare Core 3 kørende. Hvis ja, kan jeg så
> lokke dig til at liste en md5sum på ls, find, netstat?

Så ville de vel også være blevet hacket...

Har du prøvet rpm -Vf /bin/ls osv.?

--
O__ ---- Peter Dalgaard Øster Farimagsgade 5, Entr.B
c/ /'_ --- Dept. of Biostatistics PO Box 2099, 1014 Cph. K
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

Jan Birk (02-12-2006)
Kommentar
Fra : Jan Birk


Dato : 02-12-06 18:09

Peter Dalgaard wrote:
> Jan Birk <jb@invalid.domain.null> writes:
>
>> Hi,
>>
>> Er der nogen som har en Fedoare Core 3 kørende. Hvis ja, kan jeg så
>> lokke dig til at liste en md5sum på ls, find, netstat?
>
> Så ville de vel også være blevet hacket...
>
> Har du prøvet rpm -Vf /bin/ls osv.?

Den kører vist på den lokale base?

/Jan


Peter Dalgaard (02-12-2006)
Kommentar
Fra : Peter Dalgaard


Dato : 02-12-06 18:28

Jan Birk <jan.birk@invalid.domain.null> writes:

> Peter Dalgaard wrote:
> > Jan Birk <jb@invalid.domain.null> writes:
> >
> >> Hi,
> >>
> >> Er der nogen som har en Fedoare Core 3 kørende. Hvis ja, kan jeg så
> >> lokke dig til at liste en md5sum på ls, find, netstat?
> > Så ville de vel også være blevet hacket...
> > Har du prøvet rpm -Vf /bin/ls osv.?
>
> Den kører vist på den lokale base?

Ja, rpm kan vist ikke andet. Jeg ved ikke hvor nem den er at fifle
med, men rootkits er sjældent _så_ energiske. Til gengæld kræver
md5sum jo at tingene ikke er opgraderet af anden årsag.

Husk også at checke ps, forresten.

--
O__ ---- Peter Dalgaard Øster Farimagsgade 5, Entr.B
c/ /'_ --- Dept. of Biostatistics PO Box 2099, 1014 Cph. K
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

Jan Birk (02-12-2006)
Kommentar
Fra : Jan Birk


Dato : 02-12-06 18:36

> Ja, rpm kan vist ikke andet. Jeg ved ikke hvor nem den er at fifle
> med, men rootkits er sjældent _så_ energiske. Til gengæld kræver
> md5sum jo at tingene ikke er opgraderet af anden årsag.

Det er rigtigt. rpm'en kører igennem uden at brokke sig.

> Husk også at checke ps, forresten.

Især

Der er placeret et sh.cgi i cgi-bin, som ser sådan ud med en strings:
---------------------------------------------------------------------
snip ... en hel masse ....

/tmp/.hash
rm -f /tmp/.hash
/etc/sysconfig/hash.zk
/var/log/httpd/access_log
cat %s | grep -v %s > %s
CONTENT_LENGTH
ADDRESS=
Invalid command
Due to suExec in apache, any ps command must be done with httpd id and gid
/usr/bin/w
%s: command not found
REQUEST_METHOD
Content-type: text/html
<TITLE>CGI Test Page</TITLE>
<ISINDEX PROMPT=" Type some text in here: ">
Content-type: text/plain
You typed "%s"
<TITLE>[zk](%s) CGI Shell</TITLE>
SCRIPT_NAME
<FORM ACTION=%s METHOD=POST>
<SELECT NAME=STRCMD>
<OPTION>Execute command:
<OPTION>Clean httpd log
<OPTION>Add root Account
<OPTION>Add Suid Shell
<OPTION>Shutdown Machine
<OPTION>Reboot Machine
<OPTION>Erase BackDoor
</SELECT>
Command: <INPUT TYPE=TEXT NAME=ADDRESS>
<INPUT TYPE=submit VALUE="Run">
<BR>
<PRE>
uname -a
uptime
....
.....
en hel masse mere
------------------------------------------

/Jan

Mogens Kjaer (03-12-2006)
Kommentar
Fra : Mogens Kjaer


Dato : 03-12-06 10:06

Jan Birk wrote:
> Hi,
>
> Er der nogen som har en Fedoare Core 3 kørende. Hvis ja, kan jeg så
> lokke dig til at liste en md5sum på ls, find, netstat?

Det kan du nok ikke bruge til så meget; der køres prelink
på alle executables, så md5sum'en passer ikke.

rpm er klar over dette og tager højde for det når den skal
verificere.

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

Jan Birk (03-12-2006)
Kommentar
Fra : Jan Birk


Dato : 03-12-06 10:44

> Det kan du nok ikke bruge til så meget; der køres prelink
> på alle executables, så md5sum'en passer ikke.

Det har du ret i.

> rpm er klar over dette og tager højde for det når den skal
> verificere.

Jeg har kørt rpm uden at der meldes fejl. Jeg er måske bare lidt
overnervøs, da jeg har fundet et rootkit i cgi-bin. Men det er
sandsynligvis ikke blevet afviklet med de korrekte rettigheder.

/Jan

Benny Amorsen (03-12-2006)
Kommentar
Fra : Benny Amorsen


Dato : 03-12-06 23:25

>>>>> "JB" == Jan Birk <jb@invalid.domain.null> writes:

JB> Jeg har kørt rpm uden at der meldes fejl. Jeg er måske bare lidt
JB> overnervøs, da jeg har fundet et rootkit i cgi-bin. Men det er
JB> sandsynligvis ikke blevet afviklet med de korrekte rettigheder.

Hvis du er tilstrækkeligt paranoid, eller de faktisk er efter dig:

Boot på rescue CD. Download rpm-pakker for coreutils, net-tools og
findutils i de versioner, som du har installeret. rpm -q --verify -p
coreutils... net-tools... findutils...

SÃ¥ er du sikker.


/Benny


Peter Dalgaard (03-12-2006)
Kommentar
Fra : Peter Dalgaard


Dato : 03-12-06 23:46

Benny Amorsen <benny+usenet@amorsen.dk> writes:

> >>>>> "JB" == Jan Birk <jb@invalid.domain.null> writes:
>
> JB> Jeg har kørt rpm uden at der meldes fejl. Jeg er måske bare lidt
> JB> overnervøs, da jeg har fundet et rootkit i cgi-bin. Men det er
> JB> sandsynligvis ikke blevet afviklet med de korrekte rettigheder.
>
> Hvis du er tilstrækkeligt paranoid, eller de faktisk er efter dig:
>
> Boot på rescue CD. Download rpm-pakker for coreutils, net-tools og
> findutils i de versioner, som du har installeret. rpm -q --verify -p
> coreutils... net-tools... findutils...
>
> SÃ¥ er du sikker.

Øh? Jo, man er nogenlunde sikker på at der ikke er pillet ved
utilities sådan at rootkittet ikke kan ses (uden videre), men: Hvad
med den der cgi-bin ting? Og det hul den kom ind ad?

--
O__ ---- Peter Dalgaard Øster Farimagsgade 5, Entr.B
c/ /'_ --- Dept. of Biostatistics PO Box 2099, 1014 Cph. K
(*) \(*) -- University of Copenhagen Denmark Ph: (+45) 35327918
~~~~~~~~~~ - (p.dalgaard@biostat.ku.dk) FAX: (+45) 35327907

Mogens Kjaer (04-12-2006)
Kommentar
Fra : Mogens Kjaer


Dato : 04-12-06 08:30

Peter Dalgaard wrote:
....
> Øh? Jo, man er nogenlunde sikker på at der ikke er pillet ved
> utilities sådan at rootkittet ikke kan ses (uden videre), men: Hvad
> med den der cgi-bin ting? Og det hul den kom ind ad?

FC3 er EOL. Fedora Legacy er mere-eller-mindre EOL.

Der er nok en del muligheder for huller...

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

Jan Birk (04-12-2006)
Kommentar
Fra : Jan Birk


Dato : 04-12-06 08:52

>> Øh? Jo, man er nogenlunde sikker på at der ikke er pillet ved
>> utilities sådan at rootkittet ikke kan ses (uden videre), men: Hvad
>> med den der cgi-bin ting? Og det hul den kom ind ad?
>
> FC3 er EOL. Fedora Legacy er mere-eller-mindre EOL.
>
> Der er nok en del muligheder for huller...

Det er en maskine jeg har arvet, men jeg gætter på at de er kommet ind
via bbphp eller lign. Men jeg kan ikke regne ud om de har haft mulighed
for at afvikle rootkit'et....

Men lidt mistænktsomt er det, da der også sendes spam fra boksen selvom
mailen ikke relayer

Det må vist hellere blive en re-installering med noget nyere.

/Jan

Thorbjørn Ravn Ander~ (04-12-2006)
Kommentar
Fra : Thorbjørn Ravn Ander~


Dato : 04-12-06 09:38

Jan Birk <jb@invalid.domain.null> writes:

> Det må vist hellere blive en re-installering med noget nyere.

Vælg eventuelt en distribution der er let at holde ajour med opdateringer.

--
Thorbjørn Ravn Andersen

Jan Birk (04-12-2006)
Kommentar
Fra : Jan Birk


Dato : 04-12-06 10:04

> Vælg eventuelt en distribution der er let at holde ajour med opdateringer.

Bortset fra at det pågældende system ikke har været opdateret, synes jeg
at Fedora kører meget fint med opdateringer. Men jeg har desværre kun
kendskab til Redhat og Fedora.

Er principperne/enkeltheden anderledes på 'de andre' distributioner?

/Jan

Thomas S. Iversen (04-12-2006)
Kommentar
Fra : Thomas S. Iversen


Dato : 04-12-06 10:07

Jan Birk <jan.birk@invalid.domain.null> skrev 2006-12-04:
>> Vælg eventuelt en distribution der er let at holde ajour med opdateringer.
>
> Bortset fra at det pågældende system ikke har været opdateret, synes jeg
> at Fedora kører meget fint med opdateringer. Men jeg har desværre kun
> kendskab til Redhat og Fedora.

Brug det du kender er mit råd. Med mindre du har tid/nysgerrighed/lyst
til at lære noget andet.

Thomas
--

Benny Amorsen (04-12-2006)
Kommentar
Fra : Benny Amorsen


Dato : 04-12-06 11:46

>>>>> "PD" == Peter Dalgaard <p.dalgaard@biostat.ku.dk> writes:

PD> Øh? Jo, man er nogenlunde sikker på at der ikke er pillet ved
PD> utilities sådan at rootkittet ikke kan ses (uden videre), men:
PD> Hvad med den der cgi-bin ting? Og det hul den kom ind ad?

Jeg kommenterede kun delen om at checke executables. Det er klart at
hullet stadig er der, hvis ikke der er gjort noget for at fjerne det.


/Benny


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste