[Tech] Che vuol dire?
Leandro Noferini
leandro@firenze.linux.it
Mer 26 Set 2001 15:16:47 CEST
>> oggi ero connesso ad internet e lasciavo scorrere il log del computer
>> che effettua la connessione (sul quale gira anche bind, di potato
>> liscio liscio) e ho visto scorrere questo messaggio:
>>
>> Sep 26 01:43:52 bbs /sbin/rpc.statd[147]:
Gianni> Temo sia un tentativo si exploit del baco di rpc.statd
In effetti anche nessus mi ha dato pił volte del cretino......
Gianni> (occhio a tenere nfs e colleghi cosi' belli aperti) di cui
Gianni> a
Lo so lo so ma mi servono.....
:-(
Gianni> Sembra in effetti un classico attacco a stringa di formato, che permette
Gianni> di iniettare codice esterno ed eseguirlo (da root, utente sotto cui
Gianni> gira rpc.statd). Nota tutti quei %(numero)x seguiti da %n all'inizio
Gianni> della stringa, una serie di 220 (prob. ottale) corrispondente a 90
Gianni> esadecimale (opcode dell'istruzione NOP dell'x86, altra impronta
Gianni> classica di un attacco di questo tipo) e alla fine un /bin/sh un po'
Gianni> nascosto nelle ultime righe (probabilmente fatte di codice
Gianni> eseguibile). In pratica rpc.statd viene trasformato in una shell di
Gianni> root da remoto.
........
Gianni> Un bel pitone, insomma. :)
Che la divinitą dei floppetti gli formatti il disco!
Gianni> Controlla la versione di statd che stavi usando e limita sempre
Gianni> l'accesso a rpc e nfs solo alle mecchine fidate.
Prima di farmi diventare scemo a cercare cose in campi nei quali non
ci capisco una ricca sega da che parte devo cominciare?
Considerate che il computer in questione deve far girare anche
netatalk, inn e postfix.
P.S. : siete dei tesori, come farei senza di voi?
--
Ciao
leandro
Email: leandro@firenze.linux.it
GPG Key fingerprint = 761A 69EA 813A CF14 FACD 1E79 AFF9 1B97 D88E 024C
Maggiori informazioni sulla lista
flug-tech