Re: obnova smazaneho (stale otevreneho) souboru

Fri, 16 Apr 2010 00:33:26 -0700 

Dan Lukes wrote:

On 04/15/10 20:07, Miroslav Lachman:

Kdyby mel o ten soubor (plus par dalsich, co jsem tam nasel) nejaky
zvedavec zajem, mohu je poskytnout k analyze :)


No, urcite domu nevenuju nejake vetsi mnozstvi casu, ale pokud to das
nekam, kde to pujde stahnout tak ti o tom nejspis neco reknu.



Ono tam tech souboru bylo vic, ale spusteny byl ten ironguard.bsd
Vystavil jsem je vsechny nahttp://www....

Za par dnu je smazu, at se to nesiri nikam ven (a proto ti pisu primo a
ne do konference, kdyz nevim, co je to za previt


To bylo rozumne rozhodnuti, tohle kolovat nikde nemusi - ja se ale s
odpovedi vratim do konference.


Uz jsem to z toho linku smazal.


Tvuj pritel je trojsky kun tridy Tsunami (alias Katien)
Je to staticky linkovany binar pro FreeBSD 6.4

Podle toho co jsem v nem videl je to "backdoor" - umoznuje vzdaleny
pristup a v ramci nej lecktere zajimave prikazy. Takovy specializovany
shell ;-)

Bylo to pro me docela prekvapeni. Nevedel jsem, ze FreeBSD uz dosahlo
takove obliby, ze se pro nej pisi takovehle veci.



Tezko rict, jestli se zacit radovat z obliby FreeBSD zrovna v tomhle 
pripade :)



A ty muzes zacit premyslet, jak se to tam dostalo. Na rozdil od Windows
tady to jen tezko proniklo pres chybu v Exploreru, protoze uzivatel
koukajici ma porno nevhodne odmacknul nejaky dialog. Tady to nekdo musel
spustit ponekud mene nevedome. Ledaze nekdo z dalky uhadl heslo nejakeho
uzivatele a pak jeste roota.



Pro utocnika to bylo jednoduche, uhadnuti hesla - heslo bylo stejne jako 
login a login byl jeste k tomu z obecne zname skupiny loginu, ktere 
testuji vsichni roboti. Takze zadna prace. To, ze se to tam dostalo az 
ted a ne drive, je patrne tim, ze je tam na SSH povolen pristup pouze z 
"ceskych" IP adres (podle GeoIP databaze), takze se tam vetsina cinskych 
a ruskych robotu nedostane.



Na roota se ten uzivatel nedostal, nebyl ve skupine wheel a ten trojan 
byl spusteny pod tim beznym uzivatelem, ne pod rootem.


Diky za analyzu!

Mirek
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l




























					Odpovedet emailem