[<--] Indice [-->]

From disobbediente@safe-mail.net
Date Fri, 11 Jul 2003 13:19:24 -0500
Subject [hackmeeting] sherwood.it try2hack

la presente la scrivo perche' qualcuno reclama danni inesistenti
sul server di sherwood.it cercando di passare ancora una volta vittima.

la macchina chiamata "webserver" , qualche giorno prima "audio" con IP
217.57.95.228 e 217.57.95.227 bindata al dominio sherwood.it e' stata
bucata in data 9-10/07/2003 per mezzo di uno sconosciutissimo bug di
samba noto solo ai piu' impavidi e valorosi  scriptkiddie dotati di un
browser testuale (che fa sempre figo) per andare su packetstorsecurity e
reperire il malefico codice sambal.c, codice che permette di divenatare 
root da remoto, giorni prima mi era riuscito fare uguale ma con un altro 
simpatico bug questa volta  di un programma per stampati(non ricordo bene) 
che mandrake 9 o 8 montava di default.

A parte le premesse tecniche spero utili per i poveri admin, che
nonostante temerari a installare mandrake e redhat con configurazioni
di default, e a usare il passwd sia per account email che account shell e con
mail scaricabili solo via pop3 e imap senza nessuna encrypt quindi
come dire 2+2=4 & sniff_pass_pop3 + passwd_utenti_mail= account
locale, non  erano loro l'obiettivo dello scherzo :).  Cmq in
entrabi i casi la macchina come tutti i materiali sono rimasti intonsi
uguale per tutti i siti tutte le email etc, ecceto per : 

1) passwd che e' stato copiato in /etc/passwd.old ed e'stato sostituito con uno senza utenze
   per ritardarre l'intervento anti deface
	tranquilli lo shadow non l'ho toccato :)   
  
2) la pass di root che e' stata cambiata in "squadristi" sempre per ritardare.

3) so che e' una grezzata, ma ero a corto di sonno, ho eliminato parte della /var/log 
   in quanto non avevo voglia di stare a spulciarmi tutti i log e levare le tracce

4) l'index di sherwood.it 

5) per errore qualche riga di httpd.conf che non ho avuto modo di rimettere in ordine

ahh dimenticavo la prima volta avrete sicuramente cancellato il contenuto della tmp che conteneva 
il file shark.so filetto usato per l'explotto, levato quello la bash non funzionava piu' 
pero l'sh e qualsiasi altra shell andava.

fatta eccezzione per le cose sopra elencate in entrambi i casi la
macchina era funzionante i siti anche e le info  erano assolutamente
INTEGRE e' ovio che necessitava per lo meno di reboot per rimettere in
ordine la pass di root,(anche se "squadristi" non stava male) 
non certo di una reinstallazione (paranoia a parte :)
detto cio' chiedo scusa agli admin per il lavoro in piu' che vi ho fatto fare 
spero almeno vi paghino lo straodinario, tanto i soldi non gli mancano
e magari date un'occhiata a bugtraq ogni tanto, perche' la privacy
e' importante, sarei potuto essere un qualsiasi "Raul Chiesa" di turno 
che collabora con gli sbirri e non fare solo il deface :)

per la Dirigenza disobbediente:
beh se necessitate di fare le vittime anche questa volta 
tirate di nuovo su il server che un rm -rf / mi costa meno
tempo del deface.

su dai non prendetevela :*

distinti saluti 
robin hood dalla foresta di SHERWOOD :)
_______________________________________________
hackmeeting mailing list
hackmeeting@kyuzz.org
http://lists.kyuzz.org/mailman/listinfo/hackmeeting

[<--] Indice [-->]