Re: Disassembler
beh', un chroot si tira su in poco tempo....
scusate l'ignoranza sto cominciando ora a capire cosa sia un chroot
del resto mi sono anche messo a leggere il Debian Securing Howto,
installabile con
apt-get install harden-doc
che dà molti preziosi consigli e contiene svariati link ad altre risorse
interessanti
Comunque ho capito cosa fa il programma che il cracker è riuscito a
lanciare sul mio malcapitato serverino, grazie a una splendida pagina
php da me realizzata con un colpo di genio degno di Forrest Gump :)
Il programmino malevolo deve essere lanciato con due parametri che sono
l'indirizzo IP e la porta di un host esterno col quale tenta di
stabilire una connessione. Ho provato usando netcat, inizialmente da una
knoppix per evitare rischi.
Se l'host remoto è in ascolto su quella porta del TCP il programma
stabilisce una connessione e presenta all'altro capo della connessione
il seguente output
Fuck you so
sh-2.05b$
Dove sh-2.05b$ è il prompt di una shell. Però su questa shell si
continua a essere loggati come l'utente che ha eseguito il programma
dall'altro lato della connessione, quindi non so poi come abbia fatto a
fare tutto il resto. Cioè, una volta avuto accesso ad una shell vera e
propria, è riuscito a sfruttare qualche altra vulnerabilità del sistema
per ottenere privilegi di root, ma non so quale. Sulla macchina
compromessa era installato parecchio software. Il kernel era un 2.4.23,
e comunque potrebbe anche aver installato un rootkit LKM che però
checkrootkit non ha rilevato.
Reply to: