Hola, de nuevo vuelvo a la carga con el problema que tengo ultimamente.
Os acompa�o mas informaci�n para que me indiques que conclusiones
sacas de ella.
Os copio una parte de mi syslog
Feb 23 19:43:32 dsa 173>Feb 23 19:43:32 /sbin/rpc.statd[147]: gethostbyname
error for
^X<F7><FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y<F7><FF><BF>^Z<F7><FF><BF>^Z
<F7><FF><BF>^[<F7><FF><BF>^[<F7><FF><BF>%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%
(....)
<90><90><90><90>1<C0><EB>|Y<89>A^P<89>A^H<FE><C0><89>A^D<89><C3><FE><C0><89>^A
<B0>f<CD><80><B3>^B<89>Y^L<C6>A^N<99><C6>A^H^P<89>I^D<80>A^D^L<88>^A<B0>f<CD>
<80><B3>^D<B0>f<CD><80><B3>^E0<C0><88>A^D<B0>f<CD>
Mar 31 13:06:12 amd /sbin/rpc.statd[147]: gethostbyname error for amd
Mar 31 15:48:30 amd /sbin/rpc.statd[146]: gethostbyname error for amd
Mar 31 22:32:55 amd /sbin/rpc.statd[147]: gethostbyname error for amd
Donde pongo puntos suspensivos es que sigue con <90> varias l�neas y
las l�neas del 31-3 son identicas todos los d�as pero con su fecha correspon-
diente.
1.- Correo
gethostbyname es una llamada de libc.
Es un obvio ataque a tu rpc.statd. Puede que tu m�quina est� crakeada, a
menos que tengas cubierto el hoyo de seguridad.
El servicio que tienes que desactivar/parchar es rpc.statd.
Saludos,
2.- Correo
> Oct 28 11:04:02 jupiter rpc.statd[414]: gethostbyname error for
> ^X<F7><FF><BF>^X<F7><FF><BF>^Y<F7><FF><BF>^Y<F7><FF><BF>^Z<F7><FF><BF>^Z<F7>
<FF><BF>^[<F7><FF><BF>^[<F7><FF><BF>%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%1
> 37x%n%10x%n%192x%n<90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> (...)
> 0>A^D^L
ter named[586]: cleaned cache of 33 RRsets
>
> Yo crei que se trataba de un posible intruso, pero en la p<E1>gina de Segurida
> en C<F3>mputo de la UNAM hay un mensaje similar preguntado esto y dicen que
> verifique que el sistema lo tenga y que el tcp-wrappers al configurarlo lo
> lea.
>
> Cheque mi sistema y solo aparece el man del gethostname, Es necesario este>
> programa y de ser as� de donde lo bajo y como lo configuro en el
> tcp-wrappers?
�Qu� sistema corres? Qu� versi�n? Me parece que los sistemas RedHat 6.2 y
7.0 son vulnerables a un exploit desafortunadamente muy simple en
-justamente- en el servicio rpc.statd, que poca gente requiere pero casi
todos tienen corriendo.
gethostbyname es una llamada al sistema que te da la IP correspondiente a
un hostname. Por ejemplo, en Perl (tal vez no de la mejor manera posible,
pero para prop�sitos de demostraci�n):
$hostname = 'www.gwolf.cx';
my @arr = gethostbyname($hostname);
my @ip = unpack('C4',$arr[4]);
print join('.',@ip);
te va a responder con 132.248.79.80, la direcci�n IP de www.gwolf.cx.
Bueno, y para qu� te mareo con esto? Simple: Lo que te hicieron fue un
cl�sico ejemplo de buffer overflow: Te pidieron el gethostbyname de un
hostname demasiado largo, lo cual puede haber causado un desbordamiento
interno. Ojal� no sea el caso, pero puede haber sido.
En caso de haber sido exitoso el intento, tu m�quina fue comprometida.
Elsiguiente paso? Fuertemente te sugiero reinstalarla, e instalarle todos
los parches de seguridad que han aparecido hasta hoy. Por qu� instalarla?
Porque no puedes saber lo que logr� hacer el atacante, en caso de haber
tenido �xito, y no podr�s por tanto reconstruir el sistema a un estado
confiable. Y por qu� aplicar todos los parches (probablemente unos 100MB o
m�s) o instalar la �ltima versi�n de tu sistema operativo? Porque es lamejor
manera de mantenerte inmune. Y claro, a�n as� no bajes la guardia,
mantente al d�a con las nuevas actualizaciones que vayan apareciendo.
Saludos,
La versi�n del sistema es Potato 2.2r0.
Linux dsa 2.2.17 #1 Sun Jun 25 09:24:41 EST 2000 i586 unknown
Como podeis ver los dos hablan del tema, pero no los comprendo bien.
Ya me comentareis que os parece, y si deberia reinstalar mi m�quina sin
mas.
Perdonar la longitud del mensaje.
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
