[LUG.ro Mix] Una puerta trasera casi criminal

Ricardo Barberis lugro-mix@lugro.org.ar
Wed, 10 Dec 2003 22:30:12 -0300


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

El Miércoles 10 de Diciembre de 2003 10:16, Horacio Castellini escribió:
> Hola:
> 	Como me picó la curiosidad estuve ensallanado el programa que
> levanta la puerta trasera de cualquier kernel 2.4.xxx pues lo probé con
> un monton de kernels desde el 2.4.2 hasta el 2.4.21, y en todos crea un
> shell-root, sea la distro que sea, pero con diferentes matices en mi
> máquina
>
> Linux clara 2.4.18-1-686 #3 Sun Aug 10 09:13:53 EST 2003 i686 unknown
>
> el programa en assembler compilano con nmap NO la rebuea como dice...
> pero si me crea el shell-root aunque es demasiado escandaloso porque no
> hay forma de ocultarlo ya que sale como proceso sh en el top y aparece
> en el /var/log/auth.log con lo cual el hacker debería ser
>
> 1) Rápido para no ser detectado por algún auditor
> 2) Borrar todas sus huellas

Una vez que tenes acceso root podes pisar el ps con uno parcheado para que 
no te vean...
Y lo dejo ahi para que no se diga que hago apologia del cracking ;-)

> Ahora bien en este kernel
>
> Linux ifir 2.4.18-1-k7 #3 Sat Nov 29 10:23:13 EST 2003 i686 unknown
>
> que usa un K7 y no un i686 fíjense lo que sale
>
> hcaste@ifir:~$ ./a.out
> [-] Unable to change page protection: Bad address
> [-] Unable to exit, entering neverending loop.
>
> [1]+  Stopped                 ./a.out
>
> Con lo cuál no lo afecta... Y sé que no fue parcheado...

A mi me paso lo mismo en algunas pruebas con kernels sin parchear, la causa 
aun no la se.

> Por otro lado en el server EVA de la fceia
>
> Linux eva 2.4.22 #1 jue dic 4 14:13:28 ART 2003 i686 unknown
>
> tiene una protección que evita que un usuario ordinário ejecute un shell
> root y también fracasó...
>
>  /bin/sh: bad interpreter: Permission denied
>
> Además por la fecha debo pensar que ya fué parcheado...
>
>
> En este kernel compilado en el 2001 tiene la falla desde hace 2 años!!!
>
> Linux dec70.lpmi.uhp-nancy.fr 2.4.13 #4 mar nov 6 16:35:22 EST 2001 i686
>
> Pues:
> Según Seba esta puerta trasera fue puesta intensionalmente para
> cuestionar las medidas de seguridad. Pero no solo afecta a debian sino a
> todos los kernel 2.4.xxx anteriores al *.23 y a todas las máquinas que
> lo usan y están huerfanas de administradores minusiosos...

La puerta trasera era otra y (afortunadamente) no llego a ver la luz.

> Si uno hace caso a una hipótesis paranoide pensaría que fue colocado
> adrede para ridiculisar Linux, pues cualquier hacker se puede loguear en
> las miles de máquinas conectadas con ADSL de usuarios nobeles RedHat,
> Mandrake, etc... y hacer estragos con lo cual crearía un rumor en contra
> de linux de dificil contención.
>
> No sé dejo plateada ls intriga....

Saludos.
- -- 
Ricardo Barberis
Usuario Linux Nº 250625:           http://counter.li.org
Usuario LFS Nº 5121:               http://www.linuxfromscratch.org
LFS en castellano:                 http://www.lfs-es.org
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (GNU/Linux)

iD8DBQE/18iknabpmElFaJkRAv9OAJ9bhYIhGLDWCEvDzunGDp3SWYL25gCfRvSO
0vMh6v9oeIJ6m6pxTKUUaVA=
=Fbq/
-----END PGP SIGNATURE-----