Trójai Unixra

> Ha neked csupán ennyit jelent a biztonság, akkor régen rossz.

Nekem nem ennyit jelent, én csak megemlítettem egy legalább akkora védelmet, mint az itt fentebb emlegetett OUTPUT lánc-beli szűrés. Azt ugyanis azért őszintén szeretném tudni, hogy hogy lehet egy otthoni csomagszűrőt úgy felhúzni, hogy az ilyen jellegű "támadás" ellen védjen. Feltételezve, hogy pl. szeretnék csetelni, netezni, levelezni ilyesmi. Ha egyiket sem, akkor nem nagy kunszt. Sőt mást mondok. Nem én szeretnék, hanem a számítástechnikában totál járatlan nejem/gyerekem, akinek a fennhangon hirdetett "internetes biztonság" álcájából pl. Linuxot tettem a gépére. (Jó. én nem, mint első hozzászólásomból látható, de tegyük fel.) Ugyanis még az sem segít igazán, hogy OK, kifele blokkolok minden irct, kivéve az irc.xyz.hu szerver felé, mert mit csinálsz akkor, ha valaki nekem/illetve fent említett vontatmányaimnak/ címzetten elkészíti a fenti kis szösszenet személyre szabott változatát, ami nem erre a szerverre akar kimenni, hanem irc.xyz.hu -ra, ilyesmi. Pl. a gyerek osztálytársai, akik megelégelték a gyerek nagy pofáját, hogy az ő gépe baromi szekur, mert apuci Leenaxot rakott rá, hogy védve legyünk a gomosz netes fajzatjai ellen. Hm?

És fenntartom, csomagszűrőről beszélek, nem app-gw -ről - lévén itt fenn aztat hirdeti valaki. (Nekem is volt már olyan, hogy egy kedves szoftvert a kimenő szabályok fogtak meg, de az ennél butább volt :-)

Erről van szó: van egy olyan include, amihez BSD alatt kellene egy másik is, amit Linux alatt vagy teljes egészében kihagynak, vagy maga az include fájl include-olja (sajnos ez glibc-ben rendszeres, néha ezért egészen hajmeresztő Linuxra fejlesztett progikat portolni).

Most javíts ki, ha tévednék, de attól, hogy ő kifele tudott kapcsolódni, ha az INPUT lánc megfelelően blokkolva van, nem fog fogadni adatot, nem vezérelhetik, stb...

Csak a letolto/futtato user neveben tenykedik.

Lattam irc logot, ugy tunik dan nemzetisegu volt az iroja,

a Kina nevet hasznalta. Siman kiadott 'rm -rf /'-eket, vagy

adore-t toltott az illeto gepere, stb.

> Erről van szó: van egy olyan include, amihez BSD alatt kellene

> egy másik is, amit Linux alatt vagy teljes egészében kihagynak,

> vagy maga az include fájl include-olja (sajnos ez glibc-ben

> rendszeres, néha ezért egészen hajmeresztő Linuxra fejlesztett

> progikat portolni).

Hat egyszerubb is, ha a fuggosegeit behuzza. Persze vannak

elonyok/hatranyok is. Nameg megirhatta volna ugy is, hogy

*BSD-n is menjen, tehat az irojanak a figyelmetlensege miatt

nem megy *BSD alatt, de ha akarta volna, akkor nagyobbat

is tarolhatott volna. :(

Tevedsz. Szerintem az osszes tuzfal szabaly ugy van megcsinalva,

hogyha a kifele meno (OUTPUT) lanc engedelyezte, akkor

az osszes hozza tartozo csomag (visszafele is!) engedelyezve

van. Lasd:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

sorok.

Nana! Nalunk pl. nincs state matching. Az igaz, hogy ftp-n nem tudunk kapcsolódni, pedig minden ehhez szukseges feltetelt teljesitunk. Mar arra gondoltam, hogy ki kene probalni a state matching-et, de ezek fenyeben nem biztos, hogy meglesz.

Zahy wrote:
> És fenntartom, csomagszűrőről beszélek, nem app-gw -ről - lévén itt fenn
> aztat hirdeti valaki. (Nekem is volt már olyan, hogy egy kedves szoftvert a
> kimenő szabályok fogtak meg, de az ennél butább volt :-)

Zahy, légy szives ne forgasd ki a szavaimat. Egy szóval sem mondtam,
hogy az OUTPUT lánc szűrése mindenre gyógyír. Csak hogy szükséges és nem
szabad elfeledkezni róla. Nyilván, ha irc-elni akarsz, nem fogod
külön-külön megadni az irc szerverek IP címeit, hogy mi allowed és mi
nem. Megjegyzem, az app-gw sem segítene rajtad jelen esetben, lévén
valódi irc forgalmat bonyolít a trojan is...

Biztos lennék benne, hogy voltak olyanok is, akik root -ként is kipróbálták... :)

Szerintem tévedsz. Akkor van így, ha én engedélyezem, azaz így írom meg. De ettől még nem ez lesz az alapértelmezett...

Nem rossz ötlet az, csak ésszel és megfelelően kontrollálva.

Ugy hangzik mintha az allapotinformaciok figyelembevetele biztonsagi res lenne, vagy gyengitene a szabalyozast, megengedobb lenne... ugyan miert?

Minden szabalyod marad ugy ahogy eddig, csak amik eddig atcsusztak, azokra meg pluszban alkalmazod az allapotvizsgalatot. Szerintem butasag nem megkovetelni egy kapcsolattol, hogy ervenyes allapotokat vegyen fel... marpedig "state matching" nelkul nem igazan lehet... (proxy-kat most hagyjuk...). Szoval nyugodtan probald ki; ha esszel alkalmazod, akkor eppenhogy szigoritasz a felteteleken. A fent elhangzottak pont a helytelen hasznalatra hivtak fel a figyelmet.

Biztos van benne egy hiddenpart, ami a gnome uj kozzetetel a weben varazslo klont hivja meg :-D

Druid-e

Mar az exploitokban se lehet megbizni - hova tart ez a vilag ;)

lol :)

ironikus a dolog, de szentem eleg hatastalan, ez nem windoz, latom mi tortenik :)

Hát mivel nem általános célú (legalábbis a win betörés azt hiszem nem ilyen ;)) ) program mint mondjuk a tar ezért nem gondolom, hogy húdenagyot tarolt. Még ha van *BSDre is akkor se.

Nem vagy te sehogy se vedve ilyen szempontbol, ecceruen makod van.

Alice? Alice? Who the F. is Alice? :D

fordul a vilag?

eddig mindenfele nem vindozos emberkek irkaltak vindoz exploitokat.

most megjott a bosszu? mert sztem ezt egy nagyon merges ringyoz server rendszergazda irta hon imadott gepenek romjai mellett :))))))))

hehe, legalabb volt humora az irojanak ;)

Kerestem, de nem találtam bővebb leírást róla. Vajon kihasznál valami szoftverhibát (ami ellen lehet frissíteni), vagy csak a letöltő user nevében tevékenykedik?

pete wrote:
> a gonoszkodni akaró felhasználókat "bünteti", magát egy MS exploitnak kiadva.
Így jár az, aki exploitokat tölt le a netről. Örülök, hogy engem (már)
nem érint... (Bár szerintem a hup.hu-n senki sem olyan "gonosz", hogy
áldozatává válhasson.) :)

Biztos már áttért windózra ;)

Mon, 08 Nov 2004 18:01:04 +0100 keltezéssel pete azt írta:

>
> Az új backdoor neve Backdoor.Maxload, és a gonoszkodni akaró felhasználókat
> "bünteti", magát egy MS exploitnak kiadva.

Ez ilyen tipikus "unom a script kiddieket, trefaljuk meg oket 1 kicsit"
hangulatu program. Sztem vicces. :) Aki letolti es futtatja IMHO
megerdemli.

Persze csak IMHO

Forrást nem tudod honnan lehet megszerezni?

Az eredeti cikkből:
> 2. Megpróbál csatlakozni az ir3ip.net IRC szerverhez a 6667-es TCP
> porton keresztül.

Ezért kell az OUTPUT láncban is szűrni, bármennyire is hajlamos az ember
elbagatelizálni a kimenő forgalom csekkelését.

Az, hogy régen gyűjtöttem az exploitokat... Most már leszoktam a hülyeségről.

Pont fordítva...

Legalábbis asz'szem, hogy már leszoktam a hülyeségről... De nem vagyok benne biztos... :-) De erről a hülyeségről szerencsére már leszoktam.

Igen, igazad van. Sokan elsiklanak ez mellett, pedig. Mert igaz, hogy jobb esetben nem tudnak visszakapcsolódni, de az sem túl egészséges, ha tudják, hogy egyátalán a gépeden van. Arról pedig nem is beszélve, hogy mi van akkor, ha az INPUT láncban van egy ESTABLISHED szabály valahol megbújva...

Hehe. Itt a legújabb érv, hogy miért is kell FreeBSD-t használni:

$ gcc -o maxload maxload.c

In file included from maxload.c:39:

/usr/include/netinet/ip.h:160: error: syntax error before "n_long"

/usr/include/netinet/ip.h:163: error: syntax error before "n_long"

$

Én le se tudom fordítani, azaz sokkal jobban védve vagyok. Első ránézésre egyébként a nagy gondosságban valami include-ot kihagyott :-)

H4X0R!!! ;)))

teljesen mind1 az "input lanc", ha a trojai sikeresen kapcsolodott kifele, akkor mar az adott user neveben barmit lehet futtatni... lasd. connect-back shellcodes

What does "H4X0R!!!" mean?

Ha neked csupán ennyit jelent a biztonság, akkor régen rossz.

"Nekünk csak egyszer kell, hogy szerencsénk legyen, önöknek pedig mindig."

Azt hiszem, ezt üzente az IRA az angol királynőnek az egyik nem sikerült merénylet után.

Elgondolkozató, a valós életben is...

lol

A netrol. Ket perc volt megtalalnom, meg ket perc kiszedni a

perl scriptet. Kb igy kezdodik:

#!/usr/bin/perl

$chan="#0xLORT";

$nick="k";

$server="irc.2600.net";

[...]

Vagyis a #0xLORT csatira akar bemenni az irc.2600.net

szerveren. Eloszor a k felhasznaloi nevet probalja, de rogton

elkezd szabad nevet keresni, k1, k2, k3, stb. Ha ez megvan,

akkor belep a csatira, es kuld egy Hi uzenetet is (/tmp/hi)

neven masolja be magat a /tmp -be, es ignoralja a szimpla

kill probalkozasokat. Egyebkent tenyleg parancsokat

kozvetit es visszakuldi az eredmenyt.

Ottjartamkor mar valaki blokkolta a csatornat, nem lehet ra

bemenni, se bekuldeni szoveget.

Vagy csak a linuxos libc es a bsd-s libc kozotti kulonbsegeket nem vette figyelembe.

Hat nem tudom. Nekem a 39-es sorig csak include-ok vannak,

es az altalad beidezett hiba is a rendszerbol jon.