Hallo, logcheck hat mir eine Mail geschickt: Subject -> ACTIVE SYSTEM ATTACK!
Apr 24 14:07:31 one snort[2064]: [1:498:2] ATTACK RESPONSES id check
returned root [Classification: Potentially Bad Traffic] [Priority: 2]:
{TCP} 195.20.224.116:119 -> 217.86.112.166:34340
In den Logs habe ich ein Usenet-Posting gefunden.
Kann da irgendwie aktiver Code ausgef�hrt werden?
W�rde mich mal interessieren. Logdatei h�nge ich mal an.
Gruss Uwe
Ôò¡����������ê��e��� Æ<Z
�M��M��E�MË@�;ÃàtÙVpŠ�w$m"XQr6é
}x��
!Šº�\a222 272683 <[EMAIL PROTECTED]> body
Daniel schrieb:
>
> ich habe ein kleines Problem. Ich will aus einem CGI-Skript ein
> Programm aufrufen das root-Rechte braucht und zwar adsl-start für die
> Netz-Verbindung.
> Das Programm überprüft die Rechte mit "id -u".
> Also habe ich einen C-Wrapper geschrieben, der hauptsächlich diese
> drei Befehle ausführt:
>
> system("/usr/bin/id -ru");
> system("/usr/bin/id -u");
> system("/usr/sbin/adsl-start");
>
> kompilieren:
> gcc adsl-wrapper.c -o adsl-wrapper.c
du meinst sicherlich: gcc adsl-wrapper.c -o adsl-wrapper :)
> Rechte ändern:
> # chmod 6755 adslwrapper
chmod 4755 reicht für deine zwecke.
> # ls -l adslwrapper
> -rwsr-sr-x 1 root root 14139 Apr 24 11:33 adsl-wrapper
> Als wwwrun (UID 30) testen (so läuft apache bei mir)
> # su wwwrun
> # /tmp/adsl-wrapper
> 30 <- reelle UID
> 30 <- effektive UID
> adsl-start: You must be root to run this script
hmm, klappt bei mir:
# cat t.c
#include <unistd.h>
main() { system("/usr/bin/id -u"); }
# id
uid=0(root) gid=0(root)
groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
# ./t
0
# su ftp
$ id
uid=14(ftp) gid=50(ftp) groups=50(ftp)
$ ./t
0
aber warum nimmst du nicht sudo dafür?
ciao -ap
.
msg06660/pgp00000.pgp
Description: PGP signature
