obnova smazaneho (stale otevreneho) souboru

Miroslav Lachman 000.fbsd at quip.cz
Fri Apr 16 09:33:00 CEST 2010


Dan Lukes wrote:
> On 04/15/10 20:07, Miroslav Lachman:
>>>> Kdyby mel o ten soubor (plus par dalsich, co jsem tam nasel) nejaky
>>>> zvedavec zajem, mohu je poskytnout k analyze :)
>>>
>>> No, urcite domu nevenuju nejake vetsi mnozstvi casu, ale pokud to das
>>> nekam, kde to pujde stahnout tak ti o tom nejspis neco reknu.
>
>> Ono tam tech souboru bylo vic, ale spusteny byl ten ironguard.bsd
>> Vystavil jsem je vsechny nahttp://www....
>>
>> Za par dnu je smazu, at se to nesiri nikam ven (a proto ti pisu primo a
>> ne do konference, kdyz nevim, co je to za previt
>
> To bylo rozumne rozhodnuti, tohle kolovat nikde nemusi - ja se ale s
> odpovedi vratim do konference.

Uz jsem to z toho linku smazal.

> Tvuj pritel je trojsky kun tridy Tsunami (alias Katien)
> Je to staticky linkovany binar pro FreeBSD 6.4
>
> Podle toho co jsem v nem videl je to "backdoor" - umoznuje vzdaleny
> pristup a v ramci nej lecktere zajimave prikazy. Takovy specializovany
> shell ;-)
>
> Bylo to pro me docela prekvapeni. Nevedel jsem, ze FreeBSD uz dosahlo
> takove obliby, ze se pro nej pisi takovehle veci.

Tezko rict, jestli se zacit radovat z obliby FreeBSD zrovna v tomhle 
pripade :)

> A ty muzes zacit premyslet, jak se to tam dostalo. Na rozdil od Windows
> tady to jen tezko proniklo pres chybu v Exploreru, protoze uzivatel
> koukajici ma porno nevhodne odmacknul nejaky dialog. Tady to nekdo musel
> spustit ponekud mene nevedome. Ledaze nekdo z dalky uhadl heslo nejakeho
> uzivatele a pak jeste roota.

Pro utocnika to bylo jednoduche, uhadnuti hesla - heslo bylo stejne jako 
login a login byl jeste k tomu z obecne zname skupiny loginu, ktere 
testuji vsichni roboti. Takze zadna prace. To, ze se to tam dostalo az 
ted a ne drive, je patrne tim, ze je tam na SSH povolen pristup pouze z 
"ceskych" IP adres (podle GeoIP databaze), takze se tam vetsina cinskych 
a ruskych robotu nedostane.

Na roota se ten uzivatel nedostal, nebyl ve skupine wheel a ten trojan 
byl spusteny pod tim beznym uzivatelem, ne pod rootem.

Diky za analyzu!

Mirek


More information about the Users-l mailing list