[LUG.ro] Una puerta trasera casi criminal

Horacio Castellini lugro@lugro.org.ar
Wed, 10 Dec 2003 10:16:20 -0300 (ART) 

Hola:
	Como me picó la curiosidad estuve ensallanado el programa que
levanta la puerta trasera de cualquier kernel 2.4.xxx pues lo probé con un
monton de kernels desde el 2.4.2 hasta el 2.4.21, y en todos crea un
shell-root, sea la distro que sea, pero con diferentes matices en mi
máquina

Linux clara 2.4.18-1-686 #3 Sun Aug 10 09:13:53 EST 2003 i686 unknown

el programa en assembler compilano con nmap NO la rebuea como dice... pero
si me crea el shell-root aunque es demasiado escandaloso porque no hay
forma de ocultarlo ya que sale como proceso sh en el top y aparece en el
/var/log/auth.log con lo cual el hacker debería ser

1) Rápido para no ser detectado por algún auditor
2) Borrar todas sus huellas

Ahora bien en este kernel

Linux ifir 2.4.18-1-k7 #3 Sat Nov 29 10:23:13 EST 2003 i686 unknown

que usa un K7 y no un i686 fíjense lo que sale

hcaste@ifir:~$ ./a.out
[-] Unable to change page protection: Bad address
[-] Unable to exit, entering neverending loop.

[1]+  Stopped                 ./a.out

Con lo cuál no lo afecta... Y sé que no fue parcheado...

Por otro lado en el server EVA de la fceia

Linux eva 2.4.22 #1 jue dic 4 14:13:28 ART 2003 i686 unknown

tiene una protección que evita que un usuario ordinário ejecute un shell
root y también fracasó...

 /bin/sh: bad interpreter: Permission denied

Además por la fecha debo pensar que ya fué parcheado...


En este kernel compilado en el 2001 tiene la falla desde hace 2 años!!!

Linux dec70.lpmi.uhp-nancy.fr 2.4.13 #4 mar nov 6 16:35:22 EST 2001 i686

Pues:
Según Seba esta puerta trasera fue puesta intensionalmente para cuestionar
las medidas de seguridad. Pero no solo afecta a debian sino a todos los
kernel 2.4.xxx anteriores al *.23 y a todas las máquinas que lo usan y
están huerfanas de administradores minusiosos...

Si uno hace caso a una hipótesis paranoide pensaría que fue colocado
adrede para ridiculisar Linux, pues cualquier hacker se puede loguear en
las miles de máquinas conectadas con ADSL de usuarios nobeles RedHat,
Mandrake, etc... y hacer estragos con lo cual crearía un rumor en contra
de linux de dificil contención.

No sé dejo plateada ls intriga....