Forum Debian Users Gang

gindek · 2013-11-24 17:29:38

Witam.
Nie będe się rowijał specjalne z tematem, linkuje blog P.Koniecznego. :

http://niebezpiecznik.pl/post/backdoor-na-linuxa-in … ak-go-wykryc/

Linkuje bo zakładam ze nie wszyscy go przeglądają.

Evilus · 2013-11-24 19:31:37

U mnie czysto na domowym serwerku ;)

Kod:

root@evilus:~# ./check_fokirtor.sh
[...]
Saved corefile /tmp/tmp.0RDfsO
OK: No indication of Fokirtor found.

Jacekalex · 2013-11-25 02:26:50

Kod:

sh check_fokirtor.sh 
warning: Cannot call inferior functions, Linux kernel PaX protection forbids return to non-executable pages!
0x00000000005b29a3 in __select_nocancel ()
Saved corefile /tmp/tmp.n4VgSqHZlO
warning: Cannot call inferior functions, Linux kernel PaX protection forbids return to non-executable pages!
0x00000000005b29a3 in __select_nocancel ()
Saved corefile /tmp/tmp.7u21YT7zPL
OK: No indication of Fokirtor found.

Biedny skrypcio dostał w ucho od PAXA......
:DDD

A ile z tego wrzasku było????

Kod:

[  621.594708] PAX: execution attempt in: <anonymous mapping>, 273828ae000-273828e2000 273828ae000
[  621.594715] PAX: terminating task: /usr/bin/gdb(gdb):4072, uid/euid: 0/0, PC: 00000273828ae000, SP: 000003a72c0c99e0
[  621.594718] PAX: bytes at PC: cc 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
[  621.594734] PAX: bytes at SP-8: 00000273828ae000 0000000000000000 ac7fb740cc1b4900 000000461199a5b0 000000461199a700 00000046133b01a0 0000000000000000 0000000000000000 00000046113b3832 0000000000000fbf 0000000000000fbf 
[  621.594768] grsec: bruteforce prevention initiated for the next 30 minutes or until service restarted, stalling each fork 30 seconds.  Please investigate the crash report for /usr/bin/gdb[gdb:4072] uid/euid:0/0 gid/egid:0/0, parent /usr/bin/gdb[gdb:4068] uid/euid:0/0 gid/egid:0/0
[  621.927189] PAX: execution attempt in: <anonymous mapping>, 30d5231f000-30d52353000 30d5231f000
[  621.927196] PAX: terminating task: /usr/bin/gdb(gdb):4091, uid/euid: 0/0, PC: 0000030d5231f000, SP: 000003dc8f58a220
[  621.927199] PAX: bytes at PC: cc 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
[  621.927215] PAX: bytes at SP-8: 0000030d5231f000 0000000000000000 5243ae1ca6ae3700 0000002aa42555b0 0000002aa4255700 0000002aa4e09840 0000000000000000 0000000000000000 0000002aa3c6e832 0000000000000fb8 0000000000000fb8 
[  621.927247] grsec: bruteforce prevention initiated for the next 30 minutes or until service restarted, stalling each fork 30 seconds.  Please investigate the crash report for /usr/bin/gdb[gdb:4091] uid/euid:0/0 gid/egid:0/0, parent /usr/bin/gdb[gdb:4087] uid/euid:0/0 gid/egid:0/0

Brzydki i zły Grsec/PAX nie pozwala skrypciom na zabawę..... :D
;-)

Ostatnio edytowany przez Jacekalex (2013-12-13 10:45:02)

fervi · 2013-11-25 11:48:34

@Jacekalex
Bądź więźniem w swoim Linuksie :P

Fervi

Jacekalex · 2013-11-25 13:00:04

fervi napisał(-a):
@Jacekalex
Bądź więźniem w swoim Linuksie :P

Fervi

Kim? Więźniem?

Masz nowego dillera, czy te ziółka w tym roku takie mocne wyszły?
:D

Bo u mnie wszystko działa, jak widać. ;)

Pavlo950 · 2013-11-25 22:00:16

To wszystko przez herbatkę ziołową.

U mnie (na szczęście) też czysto.

bonus · 2013-11-26 10:59:28

Jestem laikiem co do linux'a, ale chciałem sprawdzić więc doinstalowałem pakiet gdb oraz binutils i wykonałem skrypt oto wynik:

Kod:

warning: The current binary is a PIE (Position Independent Executable), which
GDB does NOT currently support.  Most debugger features will fail if used
in this session.

0xb76d5424 in __kernel_vsyscall ()
Saved corefile /tmp/tmp.xEIhSKAvgD
warning: The current binary is a PIE (Position Independent Executable), which
GDB does NOT currently support.  Most debugger features will fail if used
in this session.

0xb770c424 in __kernel_vsyscall ()
Saved corefile /tmp/tmp.xAeG0F0IMX
OK: No indication of Fokirtor found.

debian jest 64bitowy a gdb w wersji 32bit, ale to chyba nie ma znaczenia?
uname -m

Kod:

i686

Jacekalex · 2013-11-26 14:43:56

U ciebie też badanie powstrzymało działanie ASLR i PIE, metody zabezpieczenia na poziomie kompilatora, chroniące przed exploitami działającymi w przestrzeni pamięci RAM.

Sznurek:
https://wiki.debian.org/Hardening

Jest w tym też jeden mały błąd, po prostu GDB - GNU-debuger został zbudowany bez wsparcia do debugowania programów używających PIE.

I dziwny masz ten system - "64 bitowy", pryz 64 bitowym systemie miałbyś wynik:

Kod:

uname -m
x86_64

Chyba, ze to jakieś nowe gimnastyki wynikające z multiarch.

U mnie, na jaju bez grsec/pax, wynik jest prawidłowy:

Kod:

./check_fokirtor.sh 
0x00000000005b29a3 in __select_nocancel ()
Saved corefile /tmp/tmp.MAoi3BgShd
0x00000000005b29a3 in __select_nocancel ()
Saved corefile /tmp/tmp.0nUrciruDI
OK: No indication of Fokirtor found.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-11-26 14:51:15)

Forum Debian Users Gang

Ogłoszenie

#1 2013-11-24 17:29:38

gindek - Zubr, bydle na etacie.

Backdoor w sshd

#2 2013-11-24 19:31:37

Evilus - Użytkownik

Re: Backdoor w sshd

Kod:

#3 2013-11-25 02:26:50

Jacekalex - Podobno człowiek...;)

Re: Backdoor w sshd

Kod:

Kod:

#4 2013-11-25 11:48:34

fervi - Użytkownik

Re: Backdoor w sshd

#5 2013-11-25 13:00:04

Jacekalex - Podobno człowiek...;)

Re: Backdoor w sshd

fervi napisał(-a):

#6 2013-11-25 22:00:16

Pavlo950 - człowiek pasjonat :D

Re: Backdoor w sshd

#7 2013-11-26 10:59:28

bonus - Użytkownik

Re: Backdoor w sshd

Kod:

Kod:

#8 2013-11-26 14:43:56

Jacekalex - Podobno człowiek...;)

Re: Backdoor w sshd

Kod:

Kod:

Stopka forum