Обнаружил я это в окне терминала, которого собственно не открывал. В окно были вписаны вполне осмысленные команды, а в домашнем каталоге лежал эксплойт.
Просмотрев историю команд я обнаружил, что меня посещал весьма осведомленный человек, поскольку для начала он через консоль осведомился на какую ОС он попал, потом скачал эксплойт и даже попытался его запустить. Честно сказать я был безмерно рад непрошенному гостю, благодаря которому я узнал о существовавшем в недавнем прошлом эксплойте, позволявшему получить права root любому пользователю, опробовал его на своей машине, проследил путь, по которому непрошенный гость заявился (разумеется закрыв его) и лишний раз убедился в том, что открытые просторы интернета кишат всевозможными темными личностями.
Теперь обо всем по порядку:
Проник хакер по оставленному мной в открытом состоянии протоколу VNC. Помните, уважаемые, без шифрования и защиты этот протокол серьезная брешь в защите. Вообще на мысль об используемом протоколе меня натолкнул способ общения хакера с моей системой - через окно терминала.
Второе - эксплойт был несвежим и на мандриве 2009.0 физически не работал, поскольку ядро было уже защищенным (эксплойт vmsplicer работал только до версии 2.6.24 ядра). Для читателей я собственными руками установил атрибут исполняемого файла на закачанный эксплойт и выполнил его. Привожу протокол его работы:
Из интернета выудил, что для успешного взлома консольный вывод должен был быть таким:
-----------------------------------
Linux vmsplice Local Root Exploit
By qaaz
-----------------------------------
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7f4d000 .. 0xb7f7f000
[+] root
Вообщем так и ушел мой гость не солона хлебавши.
ЭЭЭЭй уважаемый !!! Приходи еще, вдруг я еще чего забыл. И спасибо тебе за столь интересную тему.
Комментариев нет:
Отправить комментарий