Trójai Unixra

Az új backdoor neve Backdoor.Maxload, és a gonoszkodni akaró felhasználókat "bünteti", magát egy MS exploitnak kiadva.

A hír itt olvasható.

Hozzászólások

> Ha neked csupán ennyit jelent a biztonság, akkor régen rossz.

Nekem nem ennyit jelent, én csak megemlítettem egy legalább akkora védelmet, mint az itt fentebb emlegetett OUTPUT lánc-beli szűrés. Azt ugyanis azért őszintén szeretném tudni, hogy hogy lehet egy otthoni csomagszűrőt úgy felhúzni, hogy az ilyen jellegű "támadás" ellen védjen. Feltételezve, hogy pl. szeretnék csetelni, netezni, levelezni ilyesmi. Ha egyiket sem, akkor nem nagy kunszt. Sőt mást mondok. Nem én szeretnék, hanem a számítástechnikában totál járatlan nejem/gyerekem, akinek a fennhangon hirdetett "internetes biztonság" álcájából pl. Linuxot tettem a gépére. (Jó. én nem, mint első hozzászólásomból látható, de tegyük fel.) Ugyanis még az sem segít igazán, hogy OK, kifele blokkolok minden irct, kivéve az irc.xyz.hu szerver felé, mert mit csinálsz akkor, ha valaki nekem/illetve fent említett vontatmányaimnak/ címzetten elkészíti a fenti kis szösszenet személyre szabott változatát, ami nem erre a szerverre akar kimenni, hanem irc.xyz.hu -ra, ilyesmi. Pl. a gyerek osztálytársai, akik megelégelték a gyerek nagy pofáját, hogy az ő gépe baromi szekur, mert apuci Leenaxot rakott rá, hogy védve legyünk a gomosz netes fajzatjai ellen. Hm?

És fenntartom, csomagszűrőről beszélek, nem app-gw -ről - lévén itt fenn aztat hirdeti valaki. (Nekem is volt már olyan, hogy egy kedves szoftvert a kimenő szabályok fogtak meg, de az ennél butább volt :-)

> Erről van szó: van egy olyan include, amihez BSD alatt kellene

> egy másik is, amit Linux alatt vagy teljes egészében kihagynak,

> vagy maga az include fájl include-olja (sajnos ez glibc-ben

> rendszeres, néha ezért egészen hajmeresztő Linuxra fejlesztett

> progikat portolni).

Hat egyszerubb is, ha a fuggosegeit behuzza. Persze vannak

elonyok/hatranyok is. Nameg megirhatta volna ugy is, hogy

*BSD-n is menjen, tehat az irojanak a figyelmetlensege miatt

nem megy *BSD alatt, de ha akarta volna, akkor nagyobbat

is tarolhatott volna. :(

Zahy wrote:
> És fenntartom, csomagszűrőről beszélek, nem app-gw -ről - lévén itt fenn
> aztat hirdeti valaki. (Nekem is volt már olyan, hogy egy kedves szoftvert a
> kimenő szabályok fogtak meg, de az ennél butább volt :-)

Zahy, légy szives ne forgasd ki a szavaimat. Egy szóval sem mondtam,
hogy az OUTPUT lánc szűrése mindenre gyógyír. Csak hogy szükséges és nem
szabad elfeledkezni róla. Nyilván, ha irc-elni akarsz, nem fogod
külön-külön megadni az irc szerverek IP címeit, hogy mi allowed és mi
nem. Megjegyzem, az app-gw sem segítene rajtad jelen esetben, lévén
valódi irc forgalmat bonyolít a trojan is...

Ugy hangzik mintha az allapotinformaciok figyelembevetele biztonsagi res lenne, vagy gyengitene a szabalyozast, megengedobb lenne... ugyan miert?

Minden szabalyod marad ugy ahogy eddig, csak amik eddig atcsusztak, azokra meg pluszban alkalmazod az allapotvizsgalatot. Szerintem butasag nem megkovetelni egy kapcsolattol, hogy ervenyes allapotokat vegyen fel... marpedig "state matching" nelkul nem igazan lehet... (proxy-kat most hagyjuk...). Szoval nyugodtan probald ki; ha esszel alkalmazod, akkor eppenhogy szigoritasz a felteteleken. A fent elhangzottak pont a helytelen hasznalatra hivtak fel a figyelmet.

Biztos van benne egy hiddenpart, ami a gnome uj kozzetetel a weben varazslo klont hivja meg :-D

Druid-e

Mar az exploitokban se lehet megbizni - hova tart ez a vilag ;)

ironikus a dolog, de szentem eleg hatastalan, ez nem windoz, latom mi tortenik :)

fordul a vilag?

eddig mindenfele nem vindozos emberkek irkaltak vindoz exploitokat.

most megjott a bosszu? mert sztem ezt egy nagyon merges ringyoz server rendszergazda irta hon imadott gepenek romjai mellett :))))))))

hehe, legalabb volt humora az irojanak ;)

Kerestem, de nem találtam bővebb leírást róla. Vajon kihasznál valami szoftverhibát (ami ellen lehet frissíteni), vagy csak a letöltő user nevében tevékenykedik?

pete wrote:
> a gonoszkodni akaró felhasználókat "bünteti", magát egy MS exploitnak kiadva.
Így jár az, aki exploitokat tölt le a netről. Örülök, hogy engem (már)
nem érint... (Bár szerintem a hup.hu-n senki sem olyan "gonosz", hogy
áldozatává válhasson.) :)

Meszes-Bábszki Áron wrote:

>
> pete wrote:
>> a gonoszkodni akaró felhasználókat "bünteti", magát egy MS exploitnak
> kiadva.
> Így jár az, aki exploitokat tölt le a netről. Örülök, hogy engem (már)
> nem érint... (Bár szerintem a hup.hu-n senki sem olyan "gonosz", hogy
> áldozatává válhasson.) :)

Mi az, hogy "már" ? :)

Mon, 08 Nov 2004 18:01:04 +0100 keltezéssel pete azt írta:

>
> Az új backdoor neve Backdoor.Maxload, és a gonoszkodni akaró felhasználókat
> "bünteti", magát egy MS exploitnak kiadva.

Ez ilyen tipikus "unom a script kiddieket, trefaljuk meg oket 1 kicsit"
hangulatu program. Sztem vicces. :) Aki letolti es futtatja IMHO
megerdemli.

Persze csak IMHO

Az eredeti cikkből:
> 2. Megpróbál csatlakozni az ir3ip.net IRC szerverhez a 6667-es TCP
> porton keresztül.

Ezért kell az OUTPUT láncban is szűrni, bármennyire is hajlamos az ember
elbagatelizálni a kimenő forgalom csekkelését.

Igen, igazad van. Sokan elsiklanak ez mellett, pedig. Mert igaz, hogy jobb esetben nem tudnak visszakapcsolódni, de az sem túl egészséges, ha tudják, hogy egyátalán a gépeden van. Arról pedig nem is beszélve, hogy mi van akkor, ha az INPUT láncban van egy ESTABLISHED szabály valahol megbújva...

Hehe. Itt a legújabb érv, hogy miért is kell FreeBSD-t használni:

$ gcc -o maxload maxload.c

In file included from maxload.c:39:

/usr/include/netinet/ip.h:160: error: syntax error before "n_long"

/usr/include/netinet/ip.h:163: error: syntax error before "n_long"

$


Én le se tudom fordítani, azaz sokkal jobban védve vagyok. Első ránézésre egyébként a nagy gondosságban valami include-ot kihagyott :-)

A netrol. Ket perc volt megtalalnom, meg ket perc kiszedni a

perl scriptet. Kb igy kezdodik:

#!/usr/bin/perl

$chan="#0xLORT";

$nick="k";

$server="irc.2600.net";

[...]

Vagyis a #0xLORT csatira akar bemenni az irc.2600.net

szerveren. Eloszor a k felhasznaloi nevet probalja, de rogton

elkezd szabad nevet keresni, k1, k2, k3, stb. Ha ez megvan,

akkor belep a csatira, es kuld egy Hi uzenetet is (/tmp/hi)

neven masolja be magat a /tmp -be, es ignoralja a szimpla

kill probalkozasokat. Egyebkent tenyleg parancsokat

kozvetit es visszakuldi az eredmenyt.

Ottjartamkor mar valaki blokkolta a csatornat, nem lehet ra

bemenni, se bekuldeni szoveget.