inetd/tcpd fun (Htan: port 20012 fun)

[Antonios Christofides]

Christos Ricudis wrote:
> Poly wraia, TWRA arxise na ginetai anhshxytiko to pragma kai myrizei
> rootkit. S'ayth thn periptwsh, to poso 8a dyskoleyteis na to
> diapistwseis eksartatai apo to poso kalo einai to rootkit.

Κωλόπαιδα, έχω να σας πω τα εξής:

1) Από αυτό το μηχάνημα κάνω ssh login χωρίς password σε ένα κάρο
   σέρβερ, όχι μόνο δικούς μου αλλά και κάποιους άλλους όπου ο
   διαχειριστής μού έχει δώσει root access για να κάνω καμιά τρίβιαλ
   ρύθμιση.

2) Είστε ΤΡΟΜΟΚΡΑΤΕΣ και τυχεροί που δεν δουλεύω στο FBI, αλλιώς θα
   τρώγατε τουλάχιστον ηλεκτρική καρέκλα.

Μετά από τρίωρο ψάξιμο, δεν φαίνεται να είναι rootkit αλλά bug (ή
feature) του inetd ή του tcpd.  Κατάφερα να το reproduce σε καθαρή
εγκατάσταση που έκανα σε ένα άλλο partition (εκτός αν το rootkit είναι
τόσο σατανικό ώστε κατάφερε πριν 5 περίπου μήνες να μου φτιάξει
rootkitted cd εγκατάστασης, ή εκτός αν έχει μπει μες στο bios.)

Έχω debian sarge, τουτέστιν netkit-inetd 0.10-10 και tcpd 7.6.dbs-8.
Για δοκιμάστε να δούμε αν μπορείτε και εσείς να το reproduce:

Στο /etc/services προσθέστε τη γραμμή

    8765 nonexistent/tcp

Στο /etc/inetd.conf προσθέστε τη γραμμή

    nonexistent	stream	tcp	nowait	root	/usr/sbin/tcpd /truly/nonexistent

Reload το inetd και δοκιμάστε telnet localhost 8765.  Θα συνδεθεί αλλά
θα μείνει συνδεδεμένο μόνο 5 δευτερόλεπτα.  Σ' αυτά τα 5 δευτερόλεπτα
πρέπει να προλάβετε

    netstat -p | grep /nonexistent
    ps l το_pid_που_θα_σας_βγάλει_η_netstat

ή, αν θέλετε σε ένα γρήγορο βήμα,

    ps l `sudo netstat -p | grep /nonexistent | perl -e 'while (<>) {($pid) = /ESTABLISHED(\d+)/; print "$pid\n";}'`
 
-- 
Antonios Christofides
+30-2661020814
+30-6979924665