[unix-ws] Hacker auf Solaris 2.6
Thomas Lange
lange at informatik.uni-koeln.de
Mit Okt 23 11:45:47 CEST 2002
Ein Hack auf Solaris 2.6
Dies ist der Bericht wie wahrscheinlich unsere SUN unter Solaris 2.6
gehackt wurde.
Es gibt Tools, die ein Class A, B oder C Netz scannen und schauen ob
der rpc.cmsd laeuft. Es gibt eine Sicherheitsluecke darin. Siehe dazu:
Sun Alert ID: 46122. Das Logging wird mit einem Tool ausgeschaltet,
das dmispd nutzt und /var/log vollschreibt, so dass nicht mehr geloggt
werden kann.
Mit einem Rootkit wurde das loggen ausgeschaltet,
und eine shell mit root Rechten auf dem Rechner gestartet. Dann wurde
/usr/bin/login ausgetauscht und das original login Programm nach
/sbin/xlogin verschoben.
Das Skript /etc/rcS.d/S30rootuser wurde erweitert und startete dann
immer srload -q, was ein sshd version 1.2.25 ist, die auf Port 22002
arbeitet. Ausserdem wurde in /etc/inittab folgende Zeile mehrfach ergaenzt:
SV:23:respawn:/usr/bin/srload -D -q
Wichtig ist also immer alle Patches zu installieren. Leider zeigt
nur das neueste patchdiag (version 1.0.4) alle Sicherheits patches
richtig an. Patchdiag Version 1.0 zeigte bei mir einige notwendingen
Patches nicht an.
Ich gehe auch dazu ueber moeglichst alle CDE Dienste (cmsd, sadmind,
ttdbserverd,...) im inetd.conf abzuschalten, da sie seit langem
immer wieder Sicherheitsprobleme beinhalten.
Ich habe auch noch einige Links zu Seiten, wo beschrieben steht wie
man Solaris Systeme hackt. Da haben wir die Informationen gefunden,
wie bei uns eingebrochen wurde. Wer moechte kann die Links von mir per
Mail bekommen.
--
Gruss Thomas