[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:02284] Re: [FYI]: 掲示板の情報など
- To: connect24h@xxxxxxxxxxxxxxxxxxxx
- Subject: [connect24h:02284] Re: [FYI]: 掲示板の情報など
- From: Seiichi Nakashima <nakasei@xxxxxxxxxxxx>
- Date: Fri, 30 Mar 2001 09:33:10 +0900
中島です。
個人的な見解ですが、Root権限を奪取するには2つの方法があると考えています。
1つはRootで実行しているプログラムに再度クラックしている。
1つはSuidビットが立っているroot管理のプログラムを悪用する。
Suidビットが立っているProgramで弱点が存在するし、一般的には修正をしないようです。
例えば、Ping,Traceroute等、X関連を含めると相当量があると認識します。
Local権限を奪取後、これらSuidビットが立っているプログラムを
悪用してRoot権限を実行できる環境を構築し、それから話題になっている
クラックキットを埋め込むのではないかと推測しています。
ただ、LionWormがどのSuidビットが立っているプログラムを利用しているのか
または、Rootで実行しているプログラム(sendmail,cron,Apacheの親等)に
再度アタックしているかはわかりません。
他にも方法はあるのでしょうか?
========================
Koji Shikata さんは書きました:
>
>しかPです。
>
>On 29 Mar 2001 15:30:13 -0000
>minz@xxxxxxxx (Hiroshi Migimatsu ^^;) wrote:
>> | なぜにrootがとれるんだ、ってのが一番の疑問です。
>>
>> bind が root で動いてれば、乗っ取れればもちろん一発、
>>
>> そうでなくても、passwd 解析できれば、やっぱりアウト
>> でしょう。
>shadow化されてたら、passwd解析できないし、
>On Tue, 27 Mar 2001 17:13:55 +0900
>Seiichi Nakashima <nakasei@xxxxxxxxxxxx> wrote:
>> 内容を参照しました。Slackware-7.0での被害発生のようですが、
>> bind-8.2.2はroot以外の権限で実行されていたと認識します。
>> 少なくともSlackwareのデフォルトはroot以外になるはずです。
>って情報があるんで、わからないんですよ。
>
>なぜ?
>
>--
> ===============================
> 鹿田 幸治 Koji.Shikata
> E-Mail:shikap@xxxxxxxxxxxx
> :shikap@xxxxxxxxxxxx
> snort1.7のパッチ公開中 http://www.yk.rim.or.jp/~shikap/patch/
> ===============================
>
>
>------------------------------------------------------------------------
> ★投げる! 打つ! 走る! 春の高校野球放送中!★
>○ ◎ http://www.infoseek.co.jp/Kky?pg=kky_top.html&svx=971122 ◎ ○
>
------------------------------
Name : Seiichi Nakashima
E-Mail : nakasei@xxxxxxxxxxxx
------------------------------
------------------------------------------------------------------------
★投げる! 打つ! 走る! 春の高校野球放送中!★
○ ◎ http://www.infoseek.co.jp/Kky?pg=kky_top.html&svx=971122 ◎ ○