|
From
|
pix <pix@rfc1925.net>
|
|
Date
|
Sat, 12 Jul 2003 14:45:32 +0200
|
|
Subject
|
Re: [hackmeeting] sherwood.it try2hack
|
disobbediente@safe-mail.net wrote:
>la presente la scrivo perche' qualcuno reclama danni inesistenti
>sul server di sherwood.it cercando di passare ancora una volta vittima.
>
mi sembri ragionevole.
vinci un premio "agricolo" x non aver fatto danni.
cosi' rimane una cosa su cui si puo' scherzare.
>
>la macchina chiamata "webserver" , qualche giorno prima "audio" con IP
>217.57.95.228 e 217.57.95.227 bindata al dominio sherwood.it e' stata
>bucata in data 9-10/07/2003 per mezzo di uno sconosciutissimo bug di
>samba noto solo ai piu' impavidi e valorosi scriptkiddie dotati di un
>browser testuale (che fa sempre figo) per andare su packetstorsecurity e
>reperire il malefico codice sambal.c, codice che permette di divenatare
>root da remoto, giorni prima mi era riuscito fare uguale ma con un altro
>simpatico bug questa volta di un programma per stampati(non ricordo bene)
>che mandrake 9 o 8 montava di default.
>
>A parte le premesse tecniche spero utili per i poveri admin, che
>nonostante temerari a installare mandrake e redhat con configurazioni
>di default, e a usare il passwd sia per account email che account shell e con
>mail scaricabili solo via pop3 e imap senza nessuna encrypt quindi
>come dire 2+2=4 & sniff_pass_pop3 + passwd_utenti_mail= account
>locale, non erano loro l'obiettivo dello scherzo :). Cmq in
>entrabi i casi la macchina come tutti i materiali sono rimasti intonsi
>uguale per tutti i siti tutte le email etc, ecceto per :
>
e' x questo (sambal non e' unico) che "il merging" tra *nix e win non
puo' funzionare.
sempre sottintendendo la paranioa personale del sysadm.
per lasciar provare tale exploit su di me (o meglio il portatile) ho
dovuto installare samba.
prima non ero vulnerabile.
pero' una zona d'ombra, a volte, e' comoda.
se temporalmente ridotta puo' funzionare E sfuggire ai "robin hood".
che pero' potrebbero anche essere meglio utilizzati.
il sito del governo nigeriano.
una ricompensa ragionevole se mi metti le foto delle negre da lapidare
al posto del presidente nella pagina dei festeggiamenti per l'
incoronazione o quel che sia.
>
>1) passwd che e' stato copiato in /etc/passwd.old ed e'stato sostituito con uno senza utenze
> per ritardarre l'intervento anti deface
> tranquilli lo shadow non l'ho toccato :)
>
>2) la pass di root che e' stata cambiata in "squadristi" sempre per ritardare.
>
>3) so che e' una grezzata, ma ero a corto di sonno, ho eliminato parte della /var/log
> in quanto non avevo voglia di stare a spulciarmi tutti i log e levare le tracce
>
>4) l'index di sherwood.it
>
>5) per errore qualche riga di httpd.conf che non ho avuto modo di rimettere in ordine
>
>ahh dimenticavo la prima volta avrete sicuramente cancellato il contenuto della tmp che conteneva
>il file shark.so filetto usato per l'explotto, levato quello la bash non funzionava piu'
>pero l'sh e qualsiasi altra shell andava.
>
>fatta eccezzione per le cose sopra elencate in entrambi i casi la
>macchina era funzionante i siti anche e le info erano assolutamente
>INTEGRE e' ovio che necessitava per lo meno di reboot per rimettere in
>ordine la pass di root,(anche se "squadristi" non stava male)
>non certo di una reinstallazione (paranoia a parte :)
>detto cio' chiedo scusa agli admin per il lavoro in piu' che vi ho fatto fare
>spero almeno vi paghino lo straodinario, tanto i soldi non gli mancano
>e magari date un'occhiata a bugtraq ogni tanto, perche' la privacy
>e' importante, sarei potuto essere un qualsiasi "Raul Chiesa" di turno
>che collabora con gli sbirri e non fare solo il deface :)
>
>per la Dirigenza disobbediente:
>beh se necessitate di fare le vittime anche questa volta
>tirate di nuovo su il server che un rm -rf / mi costa meno
>tempo del deface.
>
>su dai non prendetevela :*
>
>distinti saluti
>robin hood dalla foresta di SHERWOOD :)
>_______________________________________________
>hackmeeting mailing list
>hackmeeting@kyuzz.org
>http://lists.kyuzz.org/mailman/listinfo/hackmeeting
>
>
>
>
bye
pix
--
Network Working Group R. Callon, Editor
Request for Comments: 1925 IOOF
(1) It has to work.
Ross Callon
_______________________________________________
hackmeeting mailing list
hackmeeting@kyuzz.org
http://lists.kyuzz.org/mailman/listinfo/hackmeeting
![[<--]](/icons/prev.gif){kind=icon}
![[-->]](/icons/next.gif){kind=icon}