gunnarhalle Skrevet 26. mars 2003 Del Skrevet 26. mars 2003 Til alle sysadms der ute: Det sirkulerer et farlig c-script på nettet, vet ikke om det er gammelt eller ikke, men farlig er det ihvertfall!! Kjøres dette spyttes det ut er root-shell, og vips, sysadm har et problem! Så pass opp!! Edit: Funka fett på en av maskinene på skolen (Debian woody, 2.4.20 kernel), men ikke på maskina mi hjemme (Slackware 9.0, 2.4.20 kernel), heldigvis!! Lenke til kommentar
argon264 Skrevet 26. mars 2003 Del Skrevet 26. mars 2003 Gammelt nytt. patcher finnes for alle kjerner. http://www.kb.cert.org/vuls/id/176888 Lenke til kommentar
gunnarhalle Skrevet 26. mars 2003 Forfatter Del Skrevet 26. mars 2003 Takk, visste ikke. Lenke til kommentar
pine Skrevet 26. mars 2003 Del Skrevet 26. mars 2003 Ptrace buggen ja ... er ikke så farlig på bokser til privat bruk. Hvis ikke du gir bort shells til rare folk da Lenke til kommentar
slime mold Skrevet 27. mars 2003 Del Skrevet 27. mars 2003 Det sirkulerer et farlig c-script på nettet C er ikke et scriptspråk Btw, hvorfor i all verden har C-kilden «M$ sucks» helt nederst der? Hvor kommer Microsoft inn i bildet, liksom? Edit: Funka fett på en av maskinene på skolen Du er sikkert klar over at du har gjort deg skyldig i innbrudd nå? Ville holdt en litt lav profil om jeg hadde drevet med cracking. Lenke til kommentar
GNUfan Skrevet 27. mars 2003 Del Skrevet 27. mars 2003 Funka (dessverre) fett hos meg. Må nok patche kernel jeg nå .... Lenke til kommentar
Egil.B Skrevet 27. mars 2003 Del Skrevet 27. mars 2003 Er jo bare bra at slike blir postet, selv om noen vett om dem fra før. Er jo ikke noen bedre måte å sikre sin egen box på enn å angripe den selv Lenke til kommentar
_mgr_ Skrevet 27. mars 2003 Del Skrevet 27. mars 2003 Bra at man får info om slike farligheter Andre som vet om slike bugs som kan gjøre systemet "tilgjengelig" og hvordan man fikser det? Kiip øpp te gudd vørk Lenke til kommentar
xeon Skrevet 27. mars 2003 Del Skrevet 27. mars 2003 Funket ikke her.. child process started.. samt OK! kjører forøvrig 2.4.20-2.48 --- RH8.0.94 (beta) Lenke til kommentar
GNUfan Skrevet 27. mars 2003 Del Skrevet 27. mars 2003 Gi den en -d (trur det var det) option, så er du i gang... Lenke til kommentar
xeon Skrevet 27. mars 2003 Del Skrevet 27. mars 2003 Still not working.. uid=meg gid=meg groups=meg Lenke til kommentar
gunnarhalle Skrevet 27. mars 2003 Forfatter Del Skrevet 27. mars 2003 Det sirkulerer et farlig c-script på nettet C er ikke et scriptspråk Det vet jeg Btw, hvorfor i all verden har C-kilden «M$ sucks» helt nederst der? Hvor kommer Microsoft inn i bildet, liksom? Fordi jeg ikke skrev koden selv. og ikke gadd ta det bort da jeg la ut fila. Edit: Funka fett på en av maskinene på skolen Du er sikkert klar over at du har gjort deg skyldig i innbrudd nå? Ville holdt en litt lav profil om jeg hadde drevet med cracking. Vi har et fag på skolen som heter Systemadministrasjon, der vi får tildelt en maskin vi skal innstallere linux på, og administrere som om den er en av mange hundre maskiner på et større nettverk. Der har jeg da selvfølgelig selv root-tilgang, og jeg kjørte programmet under kontrollerte forhold. Og som du sikkert så, henvendte jeg meg til andre sysadms, og ikke til kverulerende forståsegpåere Sånne innspill lager ikke annet enn kvalme. Lenke til kommentar
pine Skrevet 27. mars 2003 Del Skrevet 27. mars 2003 før patchen mirza@hajvan:~$ ./heh [+] Attached to 1137 [+] Waiting for signal [+] Signal caught [+] Shellcode placed at 0x4000da2d [+] Now wait for suid shell... sh-2.05a# id uid=0(root) gid=0(root) groups=0(root) sh-2.05a# uname -a Linux hajvan 2.4.20 #2 Wed Mar 26 15:04:59 CET 2003 i686 unknown og etter mirza@hajvan:~$ ./heh [-] Unable to attach: Operation not permitted Killed Hvis du skal teste før og etter, husk å chowne det tilbake til orginalbruker, fordi den blir chowna til root etter at den er kjørt første gang. Og når den er eid av root, får du root uansett om du er patchet eller ikke. Lenke til kommentar
whoi Skrevet 30. mars 2003 Del Skrevet 30. mars 2003 Dere som skjønner koden, det er ikke no sånn tullball i koden som ødelegger, forrandrer på filer elller andre ting? Jeg fikk lyst til å prøve den på mitt eget system, men siden jeg ikke skjønner bæret av hva den gjør, så blir jeg litt skeptisk Lenke til kommentar
DummeGaas Skrevet 30. mars 2003 Del Skrevet 30. mars 2003 Dere som skjønner koden, det er ikke no sånn tullball i koden som ødelegger, forrandrer på filer elller andre ting? Jeg fikk lyst til å prøve den på mitt eget system, men siden jeg ikke skjønner bæret av hva den gjør, så blir jeg litt skeptisk Den ser helt trygg ut, jeg har prøvd den her uten at noe ble slettet(så vidt jeg vet). Lenke til kommentar
Aerocker Skrevet 30. mars 2003 Del Skrevet 30. mars 2003 funka desverre alt for godt her... Har en server med RH7.3 der jeg har kjørt alle de automatiske oppdateringene fra Red Hat. Litt stygt. Hvor gammelt er dette programmet? Lenke til kommentar
whoi Skrevet 30. mars 2003 Del Skrevet 30. mars 2003 Jeg tror denne er den samme exploiten, og der står det at den ble oppdaget 25 januar. Lenke til kommentar
whoi Skrevet 30. mars 2003 Del Skrevet 30. mars 2003 Jeg lurer litt på hvorfor den prøver å bytte passordet mitt. Passordet mitt forrandres ikke, men det ser ut som den prøver. => Double-ptrace mode, executing /bin/sh, suid-helper /usr/bin/passwdStarting suid program /usr/bin/passwd Changing password for blurpy Lenke til kommentar
Rafael Skrevet 30. mars 2003 Del Skrevet 30. mars 2003 Hvorfor har ikke kernel-utviklerne fikset dette? Lenke til kommentar
GNUfan Skrevet 31. mars 2003 Del Skrevet 31. mars 2003 Alan Cox har vel patchet det? Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå