Back Orifice in Linux

Karaoulis Marios marios at lemnos.geo.auth.gr
Sat Jun 26 21:12:37 EEST 2004 

Δεν ξέρω τι λέτε εσείς, πάντως χθές η SuSE έβγαλε security update

This update resolves random listening to ports by xdm that allows to connect 
via XDMCP.


On Thursday 24 June 2004 04:50, Giorgos Keramidas wrote:
> On 2004-06-23 21:45, Karaoulis Marios <marios at lemnos.geo.auth.gr> wrote:
> > Paidia, to firewall mou (Firestarter) painei sto out kapoio Back Orifice
> > sto port 31337. Eida kapou sto Internet oti yparxei auto o "ios" KAI gia 
> > Linux kai proteinei auth thn lhsh
> > http://www.vsantivirus.com/16-03-02.htm
> > (Kante prota translate thn selida).
> > Dysthxos tetopia arxeio Xaccess den brisketai sto SuSE 9.1. Ti na kano?
>
> Για όποιον προσπαθήσει να διαβάσει τι λέει η σελίδα, ορίστε το output
>
> του babelfish για το σχετικό link:
> |    1	VSantivirus no. 617 - Year 6 - Saturday 16 of March of 2002
> |    2
> |    3	A Back Orifice for Linux allows remote attacks
> |    4	http://www.vsantivirus.com/16-03-02.htm
> |    5
> |    6	By VSAntivirus Writing
> |    7	vsantivirus at videosoft.net.uy
> |    8
> |    9	An announcement of high given priority to know Friday, reveals
> |   10	that a well-known fault like "Anonymous XDMCP", allows the
> |   11	remote action of attackers in practically all the platforms
> |   12	existing UNIX and Linux to the date.
> |   13
> |   14	Using a present commando in most of the UNIX packages (Linux),
> |   15	well-known protocol UDP can be obtained by means of the use of a
> |   16	little (the XDMCP, X Display Manager Protocol Control), an
> |   17	identical remote console to the local session under X-Windows.
> |   18
> |   19	This is not something new. Nevertheless, recently everything has
> |   20	become easier with the new desktop applications available in
> |   21	UNIX and Linux.
> |   22
> |   23	The fault has been catalogued like an authentic "Back Orifice
> |   24	for UNIX" (BO is a troyano well-known that affects platforms
> |   25	Windows, and allows the total control of the attacked
> |   26	computers).
> |   27
> |   28	The mitigante factor is that the attacker still must
> |   29	autentificar itself, before being able to take the complete
> |   30	control. But once obtained the passwords, this is "eaten bread".
> |   31
> |   32	After the authentication, the attacker can obtain the complete
> |   33	control on the attacked remote machine.
> |   34
> |   35	This vulnerability has been proven in all the versions of Sun
> |   36	Solaris and Linux Mandrake until at least the 8,1. But other
> |   37	packages also could be vulnerable.
> |   38
> |   39	This fault is not new, and for a long time hackers has been
> |   40	operated by few and perhaps some crackers (from 1999 or before).
> |   41
> |   42	The warning of the vulnerability was done the 1 of March of 2002
> |   43	to the CERT, that noticed the salesmen of involved software and
> |   44	the 15 of the same month were made public.
> |   45
> |   46	A utility of test has been released also that examines
> |   47	vulnerability XDMCP and the traffic generated in the network by
> |   48	this fault. Software of course, is gratuitous, and
> |   49	paradoxicalally also it could be used maliciously to look for
> |   50	vulnerable equipment, and after it, to obtain names of user and
> |   51	passwords by means of other known methods, and finally to enter
> |   52	those machines taking advantage of the fault here deciphers.
> |   53
> |   54	What it could more worry to the users, is that the fault is not
> |   55	new, and therefore the personal or enterprise information, they
> |   56	could be or having been in risk situation previously.
> |   57
> |   58	The precaution measures consist of deshabilitar the remote
> |   59	connections and blocking all traffic in the ports used by
> |   60	protocol XDMCP.
> |   61
> |   62	The solution is to process the patches of the different
> |   63	companies as these implement them, and in the case from
> |   64	companies, to apply security audits.
> |   65
> |   66	Vulnerable systems:
> |   67
> |   68	Linux Mandrake versions 8.0.
> |   69	Solaris 2,6 (intel).
> |   70	Solaris 2,6 Sparc, Solaris 7 Sparc and possibly 8
> |   71
> |   72	He is not vulnerable: RedHat 7.2
> |   73
> |   74	Platforms: Solaris/Linux/Unix
> |   75
> |   76	More information and detailed description of solutions:
> |   77	www.procheckup.com/security_info/vuln_pr0208.html
> |   78
> |   79	(c) Video Soft - http://www.videosoft.net.uy
> |   80	(c) VSAntivirus - http://www.vsantivirus.com
>
> Μάριε, αυτό που περιγράφει το 'άρθρο' δεν είναι ένα vulnerability του
> Linux σε κάποιο ιό, αλλά ένα πρόβλημα στις ρυθμίσεις του.  Το ότι αυτός
> που έγραψε το συγκεκριμένο άρθρο δεν έχει ιδέα τι του γίνεται και γράφει
> την πρώτη αρλούμπα που του κατεβαίνει είναι φανερό από τις χαζομάρες τις
>
> οποίες γράφει, όπως π.χ.:
> |    9  An announcement of high given priority to know Friday, reveals
> |   10  that a well-known fault like "Anonymous XDMCP", allows the
> |   11  remote action of attackers in practically all the platforms
> |   12  existing UNIX and Linux to the date.
>
> Ναι ΟΚ, το Unix και το Linux εδώ και καιρό επιτρέπουν (αν έτσι τα
> ρυθμίσεις) να κάνει κάποιος remotely login μέσω XDMCP με γραφικό
> περιβάλλον.  Αυτό δεν είναι "well-known fault", ούτε επιτρέπει σε
> κανέναν να συνδεθεί στο τοπικό σου μηχάνημα αν:
>
>     α.  Δεν έχεις ενεργοποιήσει το XDMCP, που δεν υπάρχει συνήθως λόγος
> 	να το ανοίξεις ακόμα κι αν τρέχεις το XDM ή κάποιο αντίστοιχο
> 	πρόγραμμα.  Συνήθως, αν δεν το ανοίξεις ρητά εσύ, δεν τρέχει καν
> 	το XDM!
>
>     β.  Ακόμη κι αν τρέχεις XDM ο "attacker" πρέπει να έχει ένα valid
> 	username/password pair στο μηχάνημά σου.  Αν έχει αυτό όμως
> 	ποιος ασχολείται με XDM και παπαριές τώρα; Γιατί να μην κάνει
> 	SSH κατευθείαν στο PC σου και να σου χώσει ένα πανηγυρικό
> 	"rm -fr /" από μακριά;
>
> |   19	This is not something new. Nevertheless, recently everything has
> |   20	become easier with the new desktop applications available in
> |   21	UNIX and Linux.
>
> Ναι OK.  Τώρα μας περιγράφει ότι το XDMCP δεν είναι νέο πρωτόκολο που
> βγήκε χτες.
>
> Hint: το γεγονός ότι δεν είναι κάποιο νέο πρωτόκολο, συνήθως σημαίνει
> ότι έχει δοκιμαστεί καιρό.  Ειδικά με το XDMCP που υπάρχουν κι ένα σωρό
> εναλλακτικές υλοποιήσεις του, από το GDM και το KDM, από τα XFree86 και
> τα X.org X11... είναι τουλάχιστον ύποπτο να προσπαθεί κάποιος να
> παρουσιάσει το XDMCP ως "τρύπα".
>
> |   23	The fault has been catalogued like an authentic "Back Orifice
> |   24	for UNIX" (BO is a troyano well-known that affects platforms
> |   25	Windows, and allows the total control of the attacked
> |   26	computers).
>
> "catalogued" από ποιόν;  Αυτός ο κάποιος ήξερε τι στο κακό έλεγε ή έτσι,
> απλά έγραφε ότι παπαριά του κατέβει;
>
> Το back orifice είναι συγκεκριμένο πρόγραμμα με συγκεκριμένη λειτουργία
> και αυτή δεν έχει καμία σχέση με το XDMCP πρωτόκολο.  Γιατί να θέλει
> κάποιος να συσχετίσει το BO με το XDMCP;  Μπορώ να σκεφτώ κάποιους
> λόγους, αλλά δεν έχουν τόσο να κάνουν με τα ίδια τα πρωτόκολα όσο με τις
> ιδέες που "θέλει να περάσει" αυτός ο κάποιος στον κόσμο.
>
> |   28	The mitigante factor is that the attacker still must
> |   29	autentificar itself, before being able to take the complete
> |   30	control. But once obtained the passwords, this is "eaten bread".
>
> Η λέξη "mitigate" χρησιμοποιείται από τους αγγλόφωνους με συγκεκριμένο
> νόημα.
>
>     mit·i·gate
>     v. mit·i·gat·ed, mit·i·gat·ing, mit·i·gates
>
>     (v.tr.) To moderate (a quality or condition) in force or intensity;
>     alleviate. See Synonyms at relieve.
>
>     (v.intr.) To become milder.
>
> Το "mitigating factor" λοιπόν που περιγράφει παραπάνω δεν είναι κάτι που
> "αλαφρώνει", που "περιορίζει" το πρόβλημα.  Κυρίως επειδή ΔΕΝ ΥΠΑΡΧΕΙ
> πρόβλημα.
>
> Πρόσεξε τι γράφει... "the attacker still must autentificar itself".
>
> Αν κάποιος μπορεί να κάνει κανονικά authenticate όμως, τότε αυτόματα
> παύει αυτό να θεωρείται "επίθεση ιού".  Όποιος δεν καταλαβαίνει γιατί,
> ας μου στείλει προσωπικό email να του εξηγήσω γιατί είναι μαλακία να λες
> ότι είναι virus attack το XDMCP *με* κανονικό authentication του user.
>
> |   32	After the authentication, the attacker can obtain the complete
> |   33	control on the attacked remote machine.
>
> Και με TELNET μπορεί.  Και με RSH.  Και με SSH.
>
> ΟΚ, και...;  Τι έγινε μ' αυτό δηλαδή;
>
> |   35	This vulnerability has been proven in all the versions of Sun
> |   36	Solaris and Linux Mandrake until at least the 8,1. But other
> |   37	packages also could be vulnerable.
>
> Όλοι αυτοί υποστηρίζουν XDMCP!  Σώπα ρε... σοβαρά;  Εγώ σου λέω ότι ΟΛΑ
> τα σοβαρά UNIX που έχουν  X11 υποστηρίζουν XDMCP.
>
> |   39	This fault is not new, and for a long time hackers has been
> |   40	operated by few and perhaps some crackers (from 1999 or before).
>
> Όποιος άφηνε ανοιχτό το XDMCP του ας πρόσεχε, είναι το καλύτερο που
> μπορούμε να πούμε.  Το Internet έχει πάψει εδώ και χρόνια να είναι η
> φιλική γειτονιά που ήξεραν οι πέντε φίλοι που έφτιαξαν το ARPAnet.
>
> Το να είναι κανείς εύπιστος και να εμπιστεύεται το σύμπαν είναι συνήθεια
> που οι UNIX users την έχουν κόψει πολύ πριν το 2002 που βγήκε αυτό το
> κίβδηλο "virus alert".
>
> |   42	The warning of the vulnerability was done the 1 of March of 2002
> |   43	to the CERT, that noticed the salesmen of involved software and
> |   44	the 15 of the same month were made public.
>
> Κι επιτέλους φαίνεται ότι περιγράφει αυτό εδώ:
>
> 	http://www.kb.cert.org/vuls/id/634847
>
> Αυτό είναι ένα από τα πολλά προβλήματα που έχουν εμφανιστεί κατά καιρούς
> σε προγράμματα που τρέχουν σε UNIX.  Παραδόξως, ενώ πολλά από αυτά
> χρησιμοποιούνται για να αποκτήσει ο κόσμος πρόσβαση σε μηχανήματα
> τρίτων, δεν υπάρχει (ακόμη) κάποιος ιός για Linux που να κάνει αυτό που
> γίνεται τόσες φορές τη βδομάδα στα Windows.  Ίσως όχι τόσο επειδή αυτό
> δε γίνεται, αλλά επειδή αυτοί που ασχολούνται με Linux έχουν καλύτερα
> πράγματα να κάνουν για να περάσει η ώρα τους :P
>
> |   54	What it could more worry to the users, is that the fault is not
> |   55	new, and therefore the personal or enterprise information, they
> |   56	could be or having been in risk situation previously.
>
> Όπως ακριβώς και με κάθε πρόβλημα που έχει ανακοινωθεί ποτέ ως σήμερα.
> Το κακό είναι ότι το συγκεκριμένο πρόβλημα δεν είναι "ιός", παρόλο που ο
> συγγραφέας του άρθρου μόνο που δε βγήκε στο καμπαναριό να φωνάξει όπως
> οι μουεζίνηδες: "ΤΟΝ ΒΡΗΚΑ, ΤΟΝ ΒΡΗΚΑ! ΣΑΣ ΛΕΩ ΤΟΝ ΒΡΗΚΑ! ΚΑΙ ΕΙΝΑΙ
> ΙΟΣ!".
>
> |   58	The precaution measures consist of deshabilitar the remote
> |   59	connections and blocking all traffic in the ports used by
> |   60	protocol XDMCP.
>
> Η καλύτερη λύση είναι να μην τρέχεις services που δεν ξέρεις γιατί τα
> τρέχεις, που είναι κακορυθμισμένα, που... που.. ένα σωρό πράγματα.
>
> |   66	Vulnerable systems:
> |   67
> |   68	Linux Mandrake versions 8.0.
> |   69	Solaris 2,6 (intel).
> |   70	Solaris 2,6 Sparc, Solaris 7 Sparc and possibly 8
> |   71
> |   72	He is not vulnerable: RedHat 7.2
> |   73
> |   74	Platforms: Solaris/Linux/Unix
>
> Μέχρι κι αυτό λάθος είναι, αν πιστέψουμε το CERT.
>
> Άντε, καληνύχτα μας.
>
> > Y.G. Kai nomiza oti to Linux den kinduneei apo ious....
>
> Αν είναι καλά ρυθμισμένο και δεν τρέχεις ένα κάρο παπαριές που δεν
> ξέρεις γιατί τρέχουν και τι κάνουν, φυσικά και δεν κινδυνεύει.
>
> Τι σε κάνει να πιστεύεις το αντίθετο;
>
> - Γιώργος

More information about the Linux-greek-users mailing list