[LUG.ro] Una puerta trasera casi criminal

Horacio Castellini lugro@lugro.org.ar
Wed, 10 Dec 2003 19:50:45 -0300 (ART) 

On Wed, 10 Dec 2003, Mario Tomasini wrote:

> Hola Horacio: mis dos neuronas deben estar en otra, porque no entiendo todo
> el alcance de lo que decis...
>
> Pregunto: se dijo que el problema había sido con Debian, y no con toda la
> distro, sino con un "ataque" contra tres servidores... creo...

El exploid que te mandé afecta al kernel y según ví se usó ese exploid
para atacar... Pero en la otra lista Seba me dijo que no????

>
> Otra: el programa llega, y debe ser compilado ¿en la máquina? de qué manera?

cc -static *.c

> o es algo que ya viene inserto en el kernell y se activa de alguna forma? Y
> solo en los 2.4. n < 23?

./a.out

>
> Crea el shell root pero como señalas, aparece visible para el operador... y
> lo hace durante la conexión, sino no tendría sentido, pero entonces tengo
> que compilar algo durante la conexión... o estoy crackeando mi sistema y
> violando mi propia seguridad (porque encima lo veo mientras lo hago)?

A ver aca te mando un ejemplo...
Esta es la máquina...

Linux grela 2.4.20-8smp #1 SMP Thu Mar 13 17:45:54 EST 2003 i686 i686 i386
GNU/Linux

Es una máquina con dos micros intel P4 y Con RedHat 9.0 y gcc versión
3.2.2 20030222 (Red Hat Linux 3.2.2-5)

hcaste@grela:~/tmp$ ./a.out
sh-2.05b# <---- ves este es un shell root

de un ps xa

12892 ?        S      0:00 [sshd]
12936 pts/0    S      0:03 [sh] <------ pica te vi!! solo si soy root!!
12941 pts/0    R      0:00 ps x

pero es invisible para el last

sh-2.05b# last |head
hcaste   pts/0        host39.200-43-97 Wed Dec 10 19:44   still logged in
hcaste   pts/0        host39.200-43-97 Wed Dec 10 19:30 - 19:31  (00:01)
sguala   pts/3        client178.campus Tue Dec  9 16:03 - 17:20  (01:16)
sguala   pts/0        client178.campus Tue Dec  9 15:22 - 17:20  (01:58)
hcaste   pts/0        tc144.steel.com. Tue Dec  9 12:50 - 13:02  (00:11)

Salgo sin problemas....

sh-2.05b# exit
exit
hcaste@grela:~/tmp$

Por lo tanto si quiero craquearla, y soy lo bastante astuto de borrar y
evitar toda auditoría puedo hacer estragos...

No se si me explico....