RE:gethostbyname
Hola, de nuevo vuelvo a la carga con el problema que tengo ultimamente.
Os acompaño mas información para que me indiques que conclusiones
sacas de ella.
Os copio una parte de mi syslog
Feb 23 19:43:32 dsa 173>Feb 23 19:43:32 /sbin/rpc.statd[147]: gethostbyname error for ^X<F7><FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y<F7><FF><BF>^Z<F7><FF><BF>^Z
<F7><FF><BF>^[<F7><FF><BF>^[<F7><FF><BF>%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x% (....)
<90><90><90><90>1<C0><EB>|Y<89>A^P<89>A^H<FE><C0><89>A^D<89><C3><FE><C0><89>^A
<B0>f<CD><80><B3>^B<89>Y^L<C6>A^N<99><C6>A^H^P<89>I^D<80>A^D^L<88>^A<B0>f<CD>
<80><B3>^D<B0>f<CD><80><B3>^E0<C0><88>A^D<B0>f<CD>
Mar 31 13:06:12 amd /sbin/rpc.statd[147]: gethostbyname error for amd
Mar 31 15:48:30 amd /sbin/rpc.statd[146]: gethostbyname error for amd
Mar 31 22:32:55 amd /sbin/rpc.statd[147]: gethostbyname error for amd
Donde pongo puntos suspensivos es que sigue con <90> varias líneas y
las líneas del 31-3 son identicas todos los días pero con su fecha correspon-
diente.
1.- Correo
gethostbyname es una llamada de libc.
Es un obvio ataque a tu rpc.statd. Puede que tu máquina está crakeada, a
menos que tengas cubierto el hoyo de seguridad.
El servicio que tienes que desactivar/parchar es rpc.statd.
Saludos,
2.- Correo
> Oct 28 11:04:02 jupiter rpc.statd[414]: gethostbyname error for
> ^X<F7><FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y<F7><FF><BF>^Z<F7><FF><BF>^Z<F7>
<FF><BF>^[<F7><FF><BF>^[<F7><FF><BF>%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%1
> 37x%n%10x%n%192x%n<90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> (...)
> 0>A^D^L
ter named[586]: cleaned cache of 33 RRsets
>
> Yo crei que se trataba de un posible intruso, pero en la p<E1>gina de Segurida
> en C<F3>mputo de la UNAM hay un mensaje similar preguntado esto y dicen que
> verifique que el sistema lo tenga y que el tcp-wrappers al configurarlo lo
> lea.
>
> Cheque mi sistema y solo aparece el man del gethostname, Es necesario este> programa y de ser así de donde lo bajo y como lo configuro en el
> tcp-wrappers?
¿Qué sistema corres? Qué versión? Me parece que los sistemas RedHat 6.2 y
7.0 son vulnerables a un exploit desafortunadamente muy simple en
-justamente- en el servicio rpc.statd, que poca gente requiere pero casi
todos tienen corriendo.
gethostbyname es una llamada al sistema que te da la IP correspondiente a
un hostname. Por ejemplo, en Perl (tal vez no de la mejor manera posible,
pero para propósitos de demostración):
$hostname = 'www.gwolf.cx';
my @arr = gethostbyname($hostname);
my @ip = unpack('C4',$arr[4]);
print join('.',@ip);
te va a responder con 132.248.79.80, la dirección IP de www.gwolf.cx.
Bueno, y para qué te mareo con esto? Simple: Lo que te hicieron fue un
clásico ejemplo de buffer overflow: Te pidieron el gethostbyname de un
hostname demasiado largo, lo cual puede haber causado un desbordamiento
interno. Ojalá no sea el caso, pero puede haber sido.
En caso de haber sido exitoso el intento, tu máquina fue comprometida. Elsiguiente paso? Fuertemente te sugiero reinstalarla, e instalarle todos
los parches de seguridad que han aparecido hasta hoy. Por qué instalarla?
Porque no puedes saber lo que lográ hacer el atacante, en caso de haber
tenido éxito, y no podrás por tanto reconstruir el sistema a un estado
confiable. Y por qué aplicar todos los parches (probablemente unos 100MB o
más) o instalar la última versión de tu sistema operativo? Porque es lamejor manera de mantenerte inmune. Y claro, aún así no bajes la guardia,
mantente al día con las nuevas actualizaciones que vayan apareciendo.
Saludos,
La versión del sistema es Potato 2.2r0.
Linux dsa 2.2.17 #1 Sun Jun 25 09:24:41 EST 2000 i586 unknown
Como podeis ver los dos hablan del tema, pero no los comprendo bien.
Ya me comentareis que os parece, y si deberia reinstalar mi máquina sin mas.
Perdonar la longitud del mensaje.
--
To UNSUBSCRIBE, email to debian-user-spanish-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: