Regards,
--------------------------------------------------- Vitor de Matos Carvalho - #5602098 Softinfo Network Administrator Salvador - Bahia - Brazil FreeBSD: The silent Workhorse ----- Original Message ----- From: "Centro de Atendimento a Incidentes de Seguranca" <[EMAIL PROTECTED]> To: <[EMAIL PROTECTED]>; <[EMAIL PROTECTED]> Sent: Friday, September 19, 2003 10:00 AM Subject: CAIS-Alerta: Falso exploit para a vulnerabilidade do OpenSSH > -----BEGIN PGP SIGNED MESSAGE----- > > > Prezados, > > O CAIS foi informado de que esta' circulando na comunidade hacker uma > noticia sobre a existencia de um exploit capaz de explorar a recente > vulnerabilidade encontrada no aplicativo OpenSSH, conforme alerta > publicado pelo CAIS em: > > http://www.rnp.br/cais/alertas/2003/openssh01.html > > O suposto exploit na verdade e' um trojan que ao ser executado em > determinada maquina, age da seguinte forma: > > . somente pode ser executado pelo root, caso contrario ocorre um > erro e a execucao e' abortada, exibindo a seguinte mensagem: > > "sorry dude need root for rawip" > > . ao tentar atacar uma maquina com ssh vulneravel, o trojan finge > um ataque realizando multiplas conexoes contra a porta 22 da > maquina vitima. A mensagem exibida pelo "exploit" e': > > "r00ting box..." > > . cria uma conta na maquina, chamada de sys3 com UID 0, ou > seja, com o mesmo UID do super-usuario (root). Cada execucao do > "exploit" adicionara' o usuario sys3. > > . grava a saida da execucao dos seguintes comandos no arquivo > /tmp/.tmp > > - ifconfig -a > - cat /etc/passwd /etc/shadow /root.ssh*/known_hosts > - find /home/ -name known_hosts -exec cat {} > > . envia o arquivo /tmp/.tmp para o usuario > [EMAIL PROTECTED], forjando o usuario de origem como > sendo [EMAIL PROTECTED] Maquinas com suspeita de terem sido > contaminadas com este trojan podem confirmar a > contaminacao, verificando a presenca destes > enderecos de email no arquivo /var/log/maillog. > > . no final do processo, o arquivo /tmp/.tmp e' apagado. > > > Detalhes dos arquivos: > > Nome: sshexp.tar.bz2.tar > MD5: 1a34d4428d932d35c0966806b29d5b9c > > Nome: sshexp.tar.bz2 > MD5: 1a34d4428d932d35c0966806b29d5b9c > > > Detalhes do conteudo: > > Nome: README > MD5: 3b754b2233e9c80bd4070754f6587c94 > > Nome: buffer.adv > MD5: 4059d198768f9f8dc9372dc1c54bc3c3 > > Nome: theosshucksass > MD5: 830ad2439d9b9206794e5d1a527f8ee0 > > Os arquivos acima, quando criados na maquina que executou o "exploit", > possuirao as seguintes caracteristicas: (horarios em GMT-3) > > - -rw------- 1 31337 31337 14 Sep 18 18:39 buffer.adv > - -rw------- 1 31337 31337 728 Sep 18 16:10 README > - -rwxr-xr-x 1 31337 31337 9293 Sep 18 18:32 theosshucksass > > > Maiores informacoes sobre a vulnerabilidade do OpenSSH podem ser > encontradas em: > > . Novidades sobre a vulnerabilidade do OpenSSH > http://www.rnp.br/cais/alertas/2003/CA200324.html > > . Vulnerabilidade remota no OpenSSH > http://www.rnp.br/cais/alertas/2003/openssh01.html > > > O CAIS recomenda aos administradores manterem seus sistemas e aplicativos > sempre atualizados, de acordo com as ultimas versoes e correcoes > disponibilizadas pelos fabricantes. > > > Atenciosamente, > > > ################################################################ > # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # > # Rede Nacional de Ensino e Pesquisa (RNP) # > # # > # [EMAIL PROTECTED] http://www.cais.rnp.br # > # Tel. 019-37873300 Fax. 019-37873301 # > # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # > ################################################################ > > -----BEGIN PGP SIGNATURE----- > Version: PGP 6.5.8 > > iQCVAwUBP2r+Bukli63F4U8VAQFXlQQAxmvB/nDnYPAAfgjT4kDZ2gNRN/uAjNfY > AMNImipVEWMVg3Q7Rw2ALZyIQuMbXyUKyauFmpx25PFnjDt4utzC0BhGedihatGP > 7s/ACIO0Jlc6cJ7H55rw64SmHdyQHxNpjYXqcglpqmK5fKIQOCXupybZ3FIP+eia > oSHxSpQUOFI= > =fey4 > -----END PGP SIGNATURE----- > > > _______________________________________________________________ Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
