[LUG.ro Mix] Una puerta trasera casi criminal

Libreria Ku-Quin - Cicerchia Federico lugro-mix@lugro.org.ar
Wed, 10 Dec 2003 11:33:29 -0300


--------------Boundary-00=_TFOOQL80000000000000
Content-Type: Multipart/Alternative;
  boundary="------------Boundary-00=_TFOOLVC0000000000000"


--------------Boundary-00=_TFOOLVC0000000000000
Content-Type: Text/Plain;
  charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

 Ahora, el kernel lo libero linuz trovals hace poco no? No puede haber si=
do
=E9l quien haya hecho este puerta trasera? =0D
Por otro lado soy nuevo en el foro, me podrias pasar informacion sobre es=
e
programa, que hace, y toda la explicacion posible.? Estoy estudiando todo=
 lo
que consigo sobre seguridad inform=E1tica, y soy fanatico de linux como
servidor. Utilizo Debian, y me encanta.=0D
Saludos.=0D
=0D
Fede=0D
 =0D
-------Original Message-------=0D
 =0D
From: lugro-mix@lugro.org.ar=0D
Date: Wednesday, December 10, 2003 10:47:10=0D
To: Usuarios Linux Rosario=0D
Cc: Lugro Chachara=0D
Subject: [LUG.ro Mix] Una puerta trasera casi criminal=0D
 =0D
Hola:=0D
  Como me pic=F3 la curiosidad estuve ensallanado el programa que=0D
levanta la puerta trasera de cualquier kernel 2.4.xxx pues lo prob=E9 con=
 un=0D
monton de kernels desde el 2.4.2 hasta el 2.4.21, y en todos crea un=0D
shell-root, sea la distro que sea, pero con diferentes matices en mi=0D
m=E1quina=0D
 =0D
Linux clara 2.4.18-1-686 #3 Sun Aug 10 09:13:53 EST 2003 i686 unknown=0D
 =0D
el programa en assembler compilano con nmap NO la rebuea como dice... per=
o=0D
si me crea el shell-root aunque es demasiado escandaloso porque no hay=0D
forma de ocultarlo ya que sale como proceso sh en el top y aparece en el=0D
/var/log/auth.log con lo cual el hacker deber=EDa ser=0D
 =0D
1) R=E1pido para no ser detectado por alg=FAn auditor=0D
2) Borrar todas sus huellas=0D
 =0D
Ahora bien en este kernel=0D
 =0D
Linux ifir 2.4.18-1-k7 #3 Sat Nov 29 10:23:13 EST 2003 i686 unknown=0D
 =0D
que usa un K7 y no un i686 f=EDjense lo que sale=0D
 =0D
hcaste@ifir:~$ ./a.out=0D
[-] Unable to change page protection: Bad address=0D
[-] Unable to exit, entering neverending loop.=0D
 =0D
[1]+ Stopped ./a.out=0D
 =0D
Con lo cu=E1l no lo afecta... Y s=E9 que no fue parcheado...=0D
 =0D
Por otro lado en el server EVA de la fceia=0D
 =0D
Linux eva 2.4.22 #1 jue dic 4 14:13:28 ART 2003 i686 unknown=0D
 =0D
tiene una protecci=F3n que evita que un usuario ordin=E1rio ejecute un sh=
ell=0D
root y tambi=E9n fracas=F3...=0D
 =0D
  /bin/sh: bad interpreter: Permission denied=0D
 =0D
Adem=E1s por la fecha debo pensar que ya fu=E9 parcheado...=0D
 =0D
 =0D
En este kernel compilado en el 2001 tiene la falla desde hace 2 a=F1os!!!=
=0D
 =0D
Linux dec70.lpmi.uhp-nancy.fr 2.4.13 #4 mar nov 6 16:35:22 EST 2001 i686=0D
 =0D
Pues:=0D
Seg=FAn Seba esta puerta trasera fue puesta intensionalmente para cuestio=
nar=0D
las medidas de seguridad. Pero no solo afecta a debian sino a todos los=0D
kernel 2.4.xxx anteriores al *.23 y a todas las m=E1quinas que lo usan y=0D
est=E1n huerfanas de administradores minusiosos...=0D
 =0D
Si uno hace caso a una hip=F3tesis paranoide pensar=EDa que fue colocado=0D
adrede para ridiculisar Linux, pues cualquier hacker se puede loguear en=0D
las miles de m=E1quinas conectadas con ADSL de usuarios nobeles RedHat,=0D
Mandrake, etc... y hacer estragos con lo cual crear=EDa un rumor en contr=
a=0D
de linux de dificil contenci=F3n.=0D
 =0D
No s=E9 dejo plateada ls intriga....=0D
 =0D
_______________________________________________=0D
Lugro-mix mailing list=0D
Lugro-mix@lugro.org.ar=0D
http://www.lugro.org.ar/mailman/listinfo/lugro-mix=0D
 =0D
=2E
--------------Boundary-00=_TFOOLVC0000000000000
Content-Type: Text/HTML;
  charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; charset=3Diso-8859-=
1">
<META content=3D"IncrediMail 1.0" name=3DGENERATOR>
<!--IncrdiXMLRemarkStart>
<IncrdiX-Info>
<X-FID>FLAVOR00-NONE-0000-0000-000000000000</X-FID>
<X-FVER>3.0</X-FVER>
<X-CNT>;</X-CNT>
</IncrdiX-Info>
<IncrdiXMLRemarkEnd-->
</HEAD>
<BODY style=3D"BACKGROUND-POSITION: 0px 0px; FONT-SIZE: 12pt; MARGIN: 5px=
 10px 10px; FONT-FAMILY: Arial" bgColor=3D#ffffff background=3D"" scroll=3D=
yes X-FVER=3D"3.0" ORGYPOS=3D"0">
<TABLE id=3DINCREDIMAINTABLE cellSpacing=3D0 cellPadding=3D2 width=3D"100=
%" border=3D0>
<TBODY>
<TR>
<TD id=3DINCREDITEXTREGION style=3D"FONT-SIZE: 12pt; CURSOR: auto; FONT-F=
AMILY: Arial" width=3D"100%">
<DIV>&nbsp;Ahora, el kernel lo libero linuz trovals hace poco no? No pued=
e haber sido =E9l quien haya hecho este puerta trasera? </DIV>
<DIV>Por otro lado soy nuevo en el foro, me podrias pasar informacion sob=
re ese programa, que hace, y toda la explicacion posible.? Estoy estudian=
do todo lo que consigo sobre seguridad inform=E1tica, y soy fanatico de l=
inux como servidor. Utilizo Debian, y me encanta.</DIV>
<DIV>Saludos.</DIV>
<DIV>&nbsp;</DIV>
<DIV>Fede</DIV>
<DIV>&nbsp;</DIV>
<DIV id=3DIncrediOriginalMessage><I>-------Original Message-------</I></D=
IV>
<DIV>&nbsp;</DIV>
<DIV id=3Dreceivestrings>
<DIV dir=3Dltr style=3D"FONT-SIZE: 11pt" <i><B>From:</B></I> <A href=3D"m=
ailto:lugro-mix@lugro.org.ar">lugro-mix@lugro.org.ar</A></DIV>
<DIV dir=3Dltr style=3D"FONT-SIZE: 11pt" <i><B>Date:</B></I> Wednesday, D=
ecember 10, 2003 10:47:10</DIV>
<DIV dir=3Dltr style=3D"FONT-SIZE: 11pt" <i><B>To:</B></I> <A href=3D"mai=
lto:lugro@lugro.org.ar">Usuarios Linux Rosario</A></DIV>
<DIV dir=3Dltr style=3D"FONT-SIZE: 11pt" <i><B>Cc:</B></I> <A href=3D"mai=
lto:lugro-mix@lugro.org.ar">Lugro Chachara</A></DIV>
<DIV dir=3Dltr style=3D"FONT-SIZE: 11pt" <i><B>Subject:</B></I> [LUG.ro M=
ix] Una puerta trasera casi criminal</DIV></DIV>
<DIV>&nbsp;</DIV>
<DIV>Hola:</DIV>
<DIV>&nbsp; Como me pic=F3 la curiosidad estuve ensallanado el programa q=
ue</DIV>
<DIV>levanta la puerta trasera de cualquier kernel 2.4.xxx pues lo prob=E9=
 con un</DIV>
<DIV>monton de kernels desde el 2.4.2 hasta el 2.4.21, y en todos crea un=
</DIV>
<DIV>shell-root, sea la distro que sea, pero con diferentes matices en mi=
</DIV>
<DIV>m=E1quina</DIV>
<DIV>&nbsp;</DIV>
<DIV>Linux clara 2.4.18-1-686 #3 Sun Aug 10 09:13:53 EST 2003 i686 unknow=
n</DIV>
<DIV>&nbsp;</DIV>
<DIV>el programa en assembler compilano con nmap NO la rebuea como dice..=
=2E pero</DIV>
<DIV>si me crea el shell-root aunque es demasiado escandaloso porque no h=
ay</DIV>
<DIV>forma de ocultarlo ya que sale como proceso sh en el top y aparece e=
n el</DIV>
<DIV>/var/log/auth.log con lo cual el hacker deber=EDa ser</DIV>
<DIV>&nbsp;</DIV>
<DIV>1) R=E1pido para no ser detectado por alg=FAn auditor</DIV>
<DIV>2) Borrar todas sus huellas</DIV>
<DIV>&nbsp;</DIV>
<DIV>Ahora bien en este kernel</DIV>
<DIV>&nbsp;</DIV>
<DIV>Linux ifir 2.4.18-1-k7 #3 Sat Nov 29 10:23:13 EST 2003 i686 unknown<=
/DIV>
<DIV>&nbsp;</DIV>
<DIV>que usa un K7 y no un i686 f=EDjense lo que sale</DIV>
<DIV>&nbsp;</DIV>
<DIV>hcaste@ifir:~$ ./a.out</DIV>
<DIV>[-] Unable to change page protection: Bad address</DIV>
<DIV>[-] Unable to exit, entering neverending loop.</DIV>
<DIV>&nbsp;</DIV>
<DIV>[1]+ Stopped ./a.out</DIV>
<DIV>&nbsp;</DIV>
<DIV>Con lo cu=E1l no lo afecta... Y s=E9 que no fue parcheado...</DIV>
<DIV>&nbsp;</DIV>
<DIV>Por otro lado en el server EVA de la fceia</DIV>
<DIV>&nbsp;</DIV>
<DIV>Linux eva 2.4.22 #1 jue dic 4 14:13:28 ART 2003 i686 unknown</DIV>
<DIV>&nbsp;</DIV>
<DIV>tiene una protecci=F3n que evita que un usuario ordin=E1rio ejecute =
un shell</DIV>
<DIV>root y tambi=E9n fracas=F3...</DIV>
<DIV>&nbsp;</DIV>
<DIV>&nbsp; /bin/sh: bad interpreter: Permission denied</DIV>
<DIV>&nbsp;</DIV>
<DIV>Adem=E1s por la fecha debo pensar que ya fu=E9 parcheado...</DIV>
<DIV>&nbsp;</DIV>
<DIV>&nbsp;</DIV>
<DIV>En este kernel compilado en el 2001 tiene la falla desde hace 2 a=F1=
os!!!</DIV>
<DIV>&nbsp;</DIV>
<DIV>Linux dec70.lpmi.uhp-nancy.fr 2.4.13 #4 mar nov 6 16:35:22 EST 2001 =
i686</DIV>
<DIV>&nbsp;</DIV>
<DIV>Pues:</DIV>
<DIV>Seg=FAn Seba esta puerta trasera fue puesta intensionalmente para cu=
estionar</DIV>
<DIV>las medidas de seguridad. Pero no solo afecta a debian sino a todos =
los</DIV>
<DIV>kernel 2.4.xxx anteriores al *.23 y a todas las m=E1quinas que lo us=
an y</DIV>
<DIV>est=E1n huerfanas de administradores minusiosos...</DIV>
<DIV>&nbsp;</DIV>
<DIV>Si uno hace caso a una hip=F3tesis paranoide pensar=EDa que fue colo=
cado</DIV>
<DIV>adrede para ridiculisar Linux, pues cualquier hacker se puede loguea=
r en</DIV>
<DIV>las miles de m=E1quinas conectadas con ADSL de usuarios nobeles RedH=
at,</DIV>
<DIV>Mandrake, etc... y hacer estragos con lo cual crear=EDa un rumor en =
contra</DIV>
<DIV>de linux de dificil contenci=F3n.</DIV>
<DIV>&nbsp;</DIV>
<DIV>No s=E9 dejo plateada ls intriga....</DIV>
<DIV>&nbsp;</DIV>
<DIV>_______________________________________________</DIV>
<DIV>Lugro-mix mailing list</DIV>
<DIV><A href=3D"mailto:Lugro-mix@lugro.org.ar">Lugro-mix@lugro.org.ar</A>=
</DIV>
<DIV><A href=3D"http://www.lugro.org.ar/mailman/listinfo/lugro-mix">http:=
//www.lugro.org.ar/mailman/listinfo/lugro-mix</A></DIV>
<DIV>&nbsp;</DIV>
<DIV>.</DIV></TD></TR>
<TR>
<TD id=3DINCREDIFOOTER width=3D"100%">
<TABLE cellSpacing=3D0 cellPadding=3D0 width=3D"100%">
<TBODY>
<TR>
<TD width=3D"100%"></TD>
<TD id=3DINCREDISOUND vAlign=3Dbottom align=3Dmiddle></TD>
<TD id=3DINCREDIANIM vAlign=3Dbottom align=3Dmiddle></TD></TR></TBODY></T=
ABLE></TD></TR></TBODY></TABLE><SPAN id=3DIncrediStamp><SPAN dir=3Dltr><F=
ONT face=3D"Arial, Helvetica, sans-serif" size=3D2>______________________=
______________________________<BR><FONT face=3D"Comic Sans MS" size=3D2><=
A href=3D"http://www.incredimail.com/redir.asp?ad_id=3D309&amp;lang=3D9">=
<IMG alt=3D"" hspace=3D0 src=3D"cid:4D7203D0-E333-439A-917B-FEA5260F0B1E"=
 align=3Dbaseline border=3D0></A>&nbsp; <I>IncrediMail</I> - <B>Email has=
 finally evolved</B> - </FONT><A href=3D"http://www.incredimail.com/redir=
=2Easp?ad_id=3D309&amp;lang=3D9"><FONT face=3D"Times New Roman" size=3D3>=
<B><U>Click Here</U></B></FONT></A></SPAN></SPAN></FONT></BODY></HTML>
--------------Boundary-00=_TFOOLVC0000000000000--

--------------Boundary-00=_TFOOQL80000000000000
Content-Type: image/gif;
  name="IMSTP.gif"
Content-Transfer-Encoding: base64
Content-ID: <4D7203D0-E333-439A-917B-FEA5260F0B1E>
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--------------Boundary-00=_TFOOQL80000000000000--