la presente la scrivo perche' qualcuno reclama danni inesistenti
sul server di sherwood.it cercando di passare ancora una volta vittima.
la macchina chiamata "webserver" , qualche giorno prima "audio" con IP
217.57.95.228 e 217.57.95.227 bindata al dominio sherwood.it e' stata
bucata in data 9-10/07/2003 per mezzo di uno sconosciutissimo bug di
samba noto solo ai piu' impavidi e valorosi scriptkiddie dotati di un
browser testuale (che fa sempre figo) per andare su packetstorsecurity e
reperire il malefico codice sambal.c, codice che permette di divenatare
root da remoto, giorni prima mi era riuscito fare uguale ma con un altro
simpatico bug questa volta di un programma per stampati(non ricordo bene)
che mandrake 9 o 8 montava di default.
A parte le premesse tecniche spero utili per i poveri admin, che
nonostante temerari a installare mandrake e redhat con configurazioni
di default, e a usare il passwd sia per account email che account shell e con
mail scaricabili solo via pop3 e imap senza nessuna encrypt quindi
come dire 2+2=4 & sniff_pass_pop3 + passwd_utenti_mail= account
locale, non erano loro l'obiettivo dello scherzo :). Cmq in
entrabi i casi la macchina come tutti i materiali sono rimasti intonsi
uguale per tutti i siti tutte le email etc, ecceto per :
1) passwd che e' stato copiato in /etc/passwd.old ed e'stato sostituito con uno senza utenze
per ritardarre l'intervento anti deface
tranquilli lo shadow non l'ho toccato :)
2) la pass di root che e' stata cambiata in "squadristi" sempre per ritardare.
3) so che e' una grezzata, ma ero a corto di sonno, ho eliminato parte della /var/log
in quanto non avevo voglia di stare a spulciarmi tutti i log e levare le tracce
4) l'index di sherwood.it
5) per errore qualche riga di httpd.conf che non ho avuto modo di rimettere in ordine
ahh dimenticavo la prima volta avrete sicuramente cancellato il contenuto della tmp che conteneva
il file shark.so filetto usato per l'explotto, levato quello la bash non funzionava piu'
pero l'sh e qualsiasi altra shell andava.
fatta eccezzione per le cose sopra elencate in entrambi i casi la
macchina era funzionante i siti anche e le info erano assolutamente
INTEGRE e' ovio che necessitava per lo meno di reboot per rimettere in
ordine la pass di root,(anche se "squadristi" non stava male)
non certo di una reinstallazione (paranoia a parte :)
detto cio' chiedo scusa agli admin per il lavoro in piu' che vi ho fatto fare
spero almeno vi paghino lo straodinario, tanto i soldi non gli mancano
e magari date un'occhiata a bugtraq ogni tanto, perche' la privacy
e' importante, sarei potuto essere un qualsiasi "Raul Chiesa" di turno
che collabora con gli sbirri e non fare solo il deface :)
per la Dirigenza disobbediente:
beh se necessitate di fare le vittime anche questa volta
tirate di nuovo su il server che un rm -rf / mi costa meno
tempo del deface.
su dai non prendetevela :*
distinti saluti
robin hood dalla foresta di SHERWOOD :)
_______________________________________________
hackmeeting mailing list
hackmeeting@kyuzz.org
http://lists.kyuzz.org/mailman/listinfo/hackmeeting