[Tech] Che vuol dire?

Leandro Noferini leandro@firenze.linux.it
Mer 26 Set 2001 15:16:47 CEST 

    >> oggi ero connesso ad internet  e lasciavo scorrere il log del computer
    >> che  effettua la  connessione (sul  quale gira  anche bind,  di potato
    >> liscio liscio) e ho visto scorrere questo messaggio:
    >> 
    >> Sep 26 01:43:52 bbs /sbin/rpc.statd[147]:

    Gianni> Temo sia un tentativo si exploit del baco di rpc.statd

In effetti anche nessus mi ha dato pił volte del cretino......

    Gianni> (occhio a tenere nfs e colleghi cosi' belli aperti) di cui
    Gianni> a

Lo so lo so ma mi servono..... 

:-(

    Gianni> Sembra in effetti un classico attacco a stringa di formato, che permette
    Gianni> di iniettare codice esterno ed eseguirlo (da root, utente sotto cui
    Gianni> gira rpc.statd). Nota tutti quei %(numero)x seguiti da %n all'inizio
    Gianni> della stringa, una serie di 220 (prob. ottale) corrispondente a 90
    Gianni> esadecimale (opcode dell'istruzione NOP dell'x86, altra impronta
    Gianni> classica di un attacco di questo tipo) e alla fine un /bin/sh un po'
    Gianni> nascosto nelle ultime righe (probabilmente fatte di codice
    Gianni> eseguibile). In pratica rpc.statd viene trasformato in una shell di
    Gianni> root da remoto.

........

    Gianni> Un bel pitone, insomma. :)

Che la divinitą dei floppetti gli formatti il disco!

    Gianni> Controlla la versione di statd che stavi usando e limita sempre
    Gianni> l'accesso a rpc e nfs solo alle mecchine fidate.

Prima di farmi  diventare scemo a cercare cose in  campi nei quali non
ci capisco una ricca sega da che parte devo cominciare? 

Considerate  che  il  computer  in  questione deve  far  girare  anche
netatalk, inn e postfix.

P.S. : siete dei tesori, come farei senza di voi? 

-- 
Ciao
leandro
Email: leandro@firenze.linux.it
GPG Key fingerprint = 761A 69EA 813A CF14 FACD  1E79 AFF9 1B97 D88E 024C

Maggiori informazioni sulla lista flug-tech