[ml] Re: suckit

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2004 ml@sikurezza.org
Soggetto: [ml] Re: suckit
Mittente: Luca Messori
Data: Mon, 13 Sep 2004 10:10:55 +0200 (CEST)

Se non ricordo male, suckit installa una copia modificata di /sbin/init e salva quella originale aggiungendo un postfisso. Controllare l'md5 è sicuramente un buon inizio. Non da la sicurezza che sia suckit, ma se il file non è quello originale ... In teoria, quindi basta rimettere /sbin/init originale e suckit non riparte.

L'installazione di default è in:

/usr/share/locale/sk/.sk12

Naturalmente è modificabile in fase di compilazione. Inoltre tale directory non è visibile utilizzando i normali comandi dalla macchina compromessa. Riavvia con una live-distro.

Per quanto riguarda "come" è entrato: effettivamente red hat 7.3 aveva una versione bacata di openssl. Se utilizzi apache+openssl, esiste un exploit per sfruttarla.

Ciao,
Luca Messori

Data:
- precedente: R: [ml] Senza Exchange fare la copia di backup di tutta la posta suoutolook su un file server, Federico Bernardi
- successivo: R: [ml] suckit, Pasqualetti, Fausto
- indice

Argomento:
- precedente: Re: [ml] quale ids, embyte
- successivo: R: [ml] suckit, Pasqualetti, Fausto
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005