[Admins] sshd exploit!

jogi at mur.at jogi at mur.at
Tue Feb 5 11:45:07 CET 2002 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

hi!

das folgende betrifft alle, die ssh in irgendeiner form als service laufen
haben. respektive admins von linux maschinen. ueber sshd auf winXX (gibt's
sowas?) ;) ist mir nix bekannt.

aus gegebenen anlass moecht ich hier in erinnerung rufen, dass ein exploit
des sshd seit einiger zeit bekannt ist. sollte es jemand verabsaeumt
haben, ihren/seinen sshd upzudaten dann koennte es bereits zu spaet sein.

anlass fuer dieses mail ist ein gelungener crack auf einer maschine von
radio helsinki und einer weiteren maschine innerhalb des mur.at
netzes. bitte checkt eure logfiles -> spuren waren da. insbesondere ist
auf geschehnisse innerhalb des letzten monats zu achten.

die analyse des cracks ist bei weitem noch nicht abgeschlossen, jedoch
sind wir uns ziemlich sicher, mindestens zwei 'indikatoren' gefunden zu
haben.

1. backdoors
zumindest auf ports 513/514 (moeglicherweise auch auf anderen) wurden
backdoors installiert. diese sind mittels nmap auch von aussen zu 'sehen'.

2. trojaner
wie viele binaries ausgetauscht wurden ist noch nicht klar. auffaellig war
allerdings, das 'ls', 'du', und 'find' durch dynamisch gegen libc5
(sic!) gelinkte binaries ausgetauscht wurden, und diese daher die funktion
versagten.

der hack war insofern boese, als es der/dem eindringling gelungen ist, zur
laufzeit weitere kernel module zu laden, die voellig unberechenbares
verhalten auf systemebene zur folge haben. klartext: wir wissen nicht, was
die maschine alles gemacht hat.

aus diesem anlass empfiehlt sich sicherheitshalber die aenderung ALLER
root/admin passwoerter wie auch eine warnung an alle userinnen, ebenfalls
ihre passwoerter upzudaten.

weitere berichte folgen. bitte um vorsicht!

gruss
j.
- -- 
noc at mur.at
	NetworkOperationCenter
	^      ^        ^
				jogi hofmueller  <-> mur.at
				ludwig zeininger <-> mur.at
- ---------------------------------------------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Made with pgp4pine

iD8DBQE8X7e2APrjdblyzsERAur7AJ9puJ9anJsXuIpfAYttKliIZEu8kQCgveWU
2ZO5X5S/h+oVD0tVtsaBNaE=
=FYt3
-----END PGP SIGNATURE-----

More information about the Admins mailing list