cacti remote exploit

A cacti egy nagyon szép kis program. Mindent elemez, grafikont csinál belőle, s ezt gyönyörűen meg is mutatja, ha kérjük. Ideág a történet szép része.

Ma figyelmeztettek, hogy az ultimate.hu domainemre egy phishing oldalt helyeztek el. Először az e-mailre megírtam a válaszom, hogy ugyanmár, biztos csak valami rossz vicc. Aztán megkaptam a pontos címet, s látom, hogy a cacti mappájában van az oldal. Megijedtem, amikor megláttam. Aztán elkapott a harci kedv.

Első lépésként ledaráltam a cactit. Előtte elmentettem a tartalmát későbbi elemzések céljából. Archiváltam a logokat, mindent, ami bizonyítja az állapotot. Ezután elkezdtem vadászni, hogy mi is jelenthette a gondot, hogy jutott be az illető. Nem szeretném bántani a kedves script kiddiet (azért letörném mindkét kezét, hogy ne érinthessen billentyűzetet többet), de nem praktikus saját e-mail címre küldeni a halászott jelszavakat. A cacti fórumban van egy perl script, aminek segítségével elég sokminden kideríthető a támadóról.

A cactin keresztül, mint ez már kiderülhetett sétált be. Fogta, s kihasználta a 0.8.6.j előtti verziókban található nyilvános biztonsági rést. Nálam a h volt fenn. Csomagból telepítve, testreszabva, beállítva.

Ezután körülnéztem pár nagyobb disztribució csomagjai között. A hivatalos debian stable terjesztésben (sarge) a c van, de javították benne már a hibát. Gentooban a j már testingként telepíthető. Ubuntu dapperban a h van, edgyben az i. Emberek, jó reggelt!

Aki használ cactit, az frissítsen gyorsan a j-re, s felejtse el a csomagokat!

Comments

11 responses to “cacti remote exploit”

  1. iwo Avatar
    iwo

    Dappered van?

  2. kobak Avatar

    [quote comment=”25054″]Dappered van?[/quote]

    igen, long term support-tal ugyebár…

  3. vbali Avatar

    Megnéztem a milw0rm-os exploitot és ráfuttattam a cactis szerveremre egy ‘ls’-t meg egy ‘cat’-ot. Ehhh, még szerencse, hogy csak LAN-on van 😀

  4. kobak Avatar

    [quote comment=”25060″]Megnéztem a milw0rm-os exploitot és ráfuttattam a cactis szerveremre egy ‘ls’-t meg egy ‘cat’-ot. Ehhh, még szerencse, hogy csak LAN-on van :D[/quote]

    Az a dologban a durva, hogy egyik disztribben sincs frissülés. Pedig mindegyikben benn van a csomag…

    Ami pedig legjobban dühít, hogy phishing oldalt tett fel valami mocsok. Ha saját magát dicsőíti, akkor még gratulálok is neki, s megveregetem a vállát. De amikor olyat csinál, amivel másoknak kárt okozhat, akkor le tudnám törni a kezét…

  5. vbali Avatar

    Nekem is felnyomták anno a linuxforge.hu-t. Szerencsére nem volt rajta semmi fontos, de akkor is bosszantott a dolog. Nálam egy Joomla sebezhetőséget használtak ki és egy statikus html indexet tettek ki a lapra (ami mellesleg még jól is nézett ki :D).
    Ez ilyenkor mindig arra ösztökél, hogy saját portálmotorral kellene hajtani az oldalt, de ameddig az nem kifizetődő addig lusta vagyok rá időt és energiát szánni!
    A kezek letörésével nem értek egyet! Én sokkal drasztikusabb dolgot művelnék az elkövetővel, de az nem tűr nyomdafestéket 😀

  6. iwo Avatar
    iwo

    LTS, mi? Lazy type support.

  7. ee Avatar
    ee

    Debianban van firssülés: http://packages.debian.org/changelogs/pool/main/c/cacti/cacti_0.8.6c-7sarge4/changelog

    Debian általában nem verziót frissít, hanem bug reportokat backportol.

    Az ubuntuban az universe-ben van csak benne. Ha jól tudom az pedig nem esik bele az ubuntu supportba, onnan csak saját felelőségre telepítsen mindenki.

  8. kobak Avatar

    [quote comment=”25103″]Debianban van firssülés: http://packages.debian.org/changelogs/pool/main/c/cacti/cacti_0.8.6c-7sarge4/changelog

    Debian általában nem verziót frissít, hanem bug reportokat backportol.

    [/quote]

    Igazad van. Csak picit bedühödtem az ubuntu miatt. Pedig anno azért váltottam ubuntura szerveren is, mert ott gyorsabb a frissítés, meg van php5.

    Ezekszerintm marad inkább a debian stable + dotdeb. :-/

  9. iwo Avatar
    iwo

    jahogy univerze….telleg, az nem esik a support ala.

  10. kobak Avatar

    [quote comment=”25139″]jahogy univerze….telleg, az nem esik a support ala.[/quote]

    igaz, csak amikor írtam, akkor picit dühös voltam mindenkire. Persze olvasom a debian security anoncement listát is, s ott is átfutottam a dolog felett. Igaz megszokásból, mert az ott írott dolgok úgyis jönnek majd apt-tal lefele. Csakhogy nem ubuntun…

    Ti legyetek okosabbak! 🙂