usernet-posting und snort

[Uwe Kerstan <uwe.kerstan@gmx.de>]

Hallo,

logcheck hat mir eine Mail geschickt:
Subject -> ACTIVE SYSTEM ATTACK!

Apr 24 14:07:31 one snort[2064]: [1:498:2] ATTACK RESPONSES id check 
returned root [Classification: Potentially Bad Traffic] [Priority: 2]: 
{TCP} 195.20.224.116:119 -> 217.86.112.166:34340

In den Logs habe ich ein Usenet-Posting gefunden.
Kann da irgendwie aktiver Code ausgeführt werden?
Würde mich mal interessieren. Logdatei hänge ich mal an.

Gruss Uwe

Ôò¡êe Æ<Z	MMEMË—@;ÃàtÙVpŠw†$m"XQr6é€}x•ˆ


!Šº\a222 272683 <3CC6793B.E53432B6@virbus.de> body
Daniel schrieb:
> 
> ich habe ein kleines Problem. Ich will aus einem CGI-Skript ein
> Programm aufrufen das root-Rechte braucht und zwar adsl-start für die
> Netz-Verbindung.
> Das Programm überprüft die Rechte mit "id -u".
> Also habe ich einen C-Wrapper geschrieben, der hauptsächlich diese
> drei Befehle ausführt:
> 
> system("/usr/bin/id -ru");
> system("/usr/bin/id -u");
> system("/usr/sbin/adsl-start");
> 
> kompilieren:
> gcc adsl-wrapper.c -o adsl-wrapper.c

du meinst sicherlich: gcc adsl-wrapper.c -o adsl-wrapper :)

> Rechte ändern:
> # chmod 6755 adslwrapper

chmod 4755 reicht für deine zwecke.

> # ls -l adslwrapper
> -rwsr-sr-x   1 root root 14139 Apr 24 11:33 adsl-wrapper
> Als wwwrun (UID 30) testen (so läuft apache bei mir)
> # su wwwrun
> # /tmp/adsl-wrapper
> 30             <- reelle UID
> 30             <- effektive UID
> adsl-start: You must be root to run this script

hmm, klappt bei mir:

# cat t.c
#include <unistd.h>
main() { system("/usr/bin/id -u"); }
# id
uid=0(root) gid=0(root)
groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
# ./t
0
# su ftp
$ id 
uid=14(ftp) gid=50(ftp) groups=50(ftp)
$ ./t
0

aber warum nimmst du nicht sudo dafür?

ciao -ap
.

Attachment: pgp_qTxKVPRZI.pgp
Description: PGP signature