Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2013-11-24 17:29:38

  gindek - Zubr, bydle na etacie.

gindek
Zubr, bydle na etacie.
Skąd: Z puszczy.
Zarejestrowany: 2008-12-08

Backdoor w sshd

Witam.
Nie będe się rowijał specjalne z tematem, linkuje blog P.Koniecznego. :

http://niebezpiecznik.pl/post/backdoor-na-linuxa-in … ak-go-wykryc/

Linkuje bo zakładam ze nie wszyscy go przeglądają.


" Wojny przychodzą i odchodzą, a moi żołnierze są wieczni"


"Zbuduj mały, dziarski router z udostępnionych przez prowadzącego części od Kamaza?"

Offline

 

#2  2013-11-24 19:31:37

  Evilus - Użytkownik

Evilus
Użytkownik
Skąd: Iłowa
Zarejestrowany: 2012-02-20
Serwis

Re: Backdoor w sshd

U mnie czysto na domowym serwerku ;)

Kod:

root@evilus:~# ./check_fokirtor.sh
[...]
Saved corefile /tmp/tmp.0RDfsO
OK: No indication of Fokirtor found.

AUDI - automatyczna ucieczka degradowanego ikarusa
Mój łebpejdż: http://evilus.me/ :: Jabber: jaroslaw@eviljab.me

Offline

 

#3  2013-11-25 02:26:50

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Backdoor w sshd

Kod:

sh check_fokirtor.sh 
warning: Cannot call inferior functions, Linux kernel PaX protection forbids return to non-executable pages!
0x00000000005b29a3 in __select_nocancel ()
Saved corefile /tmp/tmp.n4VgSqHZlO
warning: Cannot call inferior functions, Linux kernel PaX protection forbids return to non-executable pages!
0x00000000005b29a3 in __select_nocancel ()
Saved corefile /tmp/tmp.7u21YT7zPL
OK: No indication of Fokirtor found.

Biedny skrypcio dostał w ucho od PAXA......
:DDD

A ile z tego wrzasku było????

Kod:

[  621.594708] PAX: execution attempt in: <anonymous mapping>, 273828ae000-273828e2000 273828ae000
[  621.594715] PAX: terminating task: /usr/bin/gdb(gdb):4072, uid/euid: 0/0, PC: 00000273828ae000, SP: 000003a72c0c99e0
[  621.594718] PAX: bytes at PC: cc 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
[  621.594734] PAX: bytes at SP-8: 00000273828ae000 0000000000000000 ac7fb740cc1b4900 000000461199a5b0 000000461199a700 00000046133b01a0 0000000000000000 0000000000000000 00000046113b3832 0000000000000fbf 0000000000000fbf 
[  621.594768] grsec: bruteforce prevention initiated for the next 30 minutes or until service restarted, stalling each fork 30 seconds.  Please investigate the crash report for /usr/bin/gdb[gdb:4072] uid/euid:0/0 gid/egid:0/0, parent /usr/bin/gdb[gdb:4068] uid/euid:0/0 gid/egid:0/0
[  621.927189] PAX: execution attempt in: <anonymous mapping>, 30d5231f000-30d52353000 30d5231f000
[  621.927196] PAX: terminating task: /usr/bin/gdb(gdb):4091, uid/euid: 0/0, PC: 0000030d5231f000, SP: 000003dc8f58a220
[  621.927199] PAX: bytes at PC: cc 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
[  621.927215] PAX: bytes at SP-8: 0000030d5231f000 0000000000000000 5243ae1ca6ae3700 0000002aa42555b0 0000002aa4255700 0000002aa4e09840 0000000000000000 0000000000000000 0000002aa3c6e832 0000000000000fb8 0000000000000fb8 
[  621.927247] grsec: bruteforce prevention initiated for the next 30 minutes or until service restarted, stalling each fork 30 seconds.  Please investigate the crash report for /usr/bin/gdb[gdb:4091] uid/euid:0/0 gid/egid:0/0, parent /usr/bin/gdb[gdb:4087] uid/euid:0/0 gid/egid:0/0

Brzydki i zły Grsec/PAX nie pozwala skrypciom na zabawę..... :D
;-)

Ostatnio edytowany przez Jacekalex (2013-12-13 10:45:02)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2013-11-25 11:48:34

  fervi - Użytkownik

fervi
Użytkownik
Zarejestrowany: 2010-03-14

Re: Backdoor w sshd

@Jacekalex
Bądź więźniem w swoim Linuksie :P

Fervi

Offline

 

#5  2013-11-25 13:00:04

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Backdoor w sshd

fervi napisał(-a):

@Jacekalex
Bądź więźniem w swoim Linuksie :P

Fervi

Kim? Więźniem?

Masz nowego dillera, czy te ziółka w tym roku takie mocne wyszły?
:D


Bo u mnie wszystko działa, jak widać. ;)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2013-11-25 22:00:16

  Pavlo950 - człowiek pasjonat :D

Pavlo950
człowiek pasjonat :D
Zarejestrowany: 2012-02-20
Serwis

Re: Backdoor w sshd

To wszystko przez herbatkę ziołową.

U mnie (na szczęście) też czysto.

Offline

 

#7  2013-11-26 10:59:28

  bonus - Użytkownik

bonus
Użytkownik
Zarejestrowany: 2009-11-12

Re: Backdoor w sshd

Jestem laikiem co do linux'a, ale chciałem sprawdzić więc doinstalowałem pakiet gdb oraz binutils i wykonałem skrypt oto wynik:

Kod:

warning: The current binary is a PIE (Position Independent Executable), which
GDB does NOT currently support.  Most debugger features will fail if used
in this session.

0xb76d5424 in __kernel_vsyscall ()
Saved corefile /tmp/tmp.xEIhSKAvgD
warning: The current binary is a PIE (Position Independent Executable), which
GDB does NOT currently support.  Most debugger features will fail if used
in this session.

0xb770c424 in __kernel_vsyscall ()
Saved corefile /tmp/tmp.xAeG0F0IMX
OK: No indication of Fokirtor found.

debian jest 64bitowy a gdb w wersji 32bit, ale to chyba nie ma znaczenia?
uname -m

Kod:

i686

Offline

 

#8  2013-11-26 14:43:56

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Backdoor w sshd

U ciebie też badanie powstrzymało działanie ASLR i PIE, metody zabezpieczenia na poziomie kompilatora, chroniące przed exploitami działającymi w przestrzeni pamięci RAM.

Sznurek:
https://wiki.debian.org/Hardening

Jest w tym też jeden mały błąd, po prostu  GDB - GNU-debuger został zbudowany bez wsparcia do debugowania programów używających  PIE.

I dziwny masz ten system - "64 bitowy", pryz 64 bitowym systemie miałbyś wynik:

Kod:

uname -m
x86_64

Chyba, ze to jakieś nowe gimnastyki wynikające z multiarch.

U mnie, na jaju bez grsec/pax, wynik jest prawidłowy:

Kod:

./check_fokirtor.sh 
0x00000000005b29a3 in __select_nocancel ()
Saved corefile /tmp/tmp.MAoi3BgShd
0x00000000005b29a3 in __select_nocancel ()
Saved corefile /tmp/tmp.0nUrciruDI
OK: No indication of Fokirtor found.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-11-26 14:51:15)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)