cacti remote exploit

A cacti egy nagyon szép kis program. Mindent elemez, grafikont csinál belőle, s ezt gyönyörűen meg is mutatja, ha kérjük. Ideág a történet szép része.

Ma figyelmeztettek, hogy az ultimate.hu domainemre egy phishing oldalt helyeztek el. Először az e-mailre megírtam a válaszom, hogy ugyanmár, biztos csak valami rossz vicc. Aztán megkaptam a pontos címet, s látom, hogy a cacti mappájában van az oldal. Megijedtem, amikor megláttam. Aztán elkapott a harci kedv.

Első lépésként ledaráltam a cactit. Előtte elmentettem a tartalmát későbbi elemzések céljából. Archiváltam a logokat, mindent, ami bizonyítja az állapotot. Ezután elkezdtem vadászni, hogy mi is jelenthette a gondot, hogy jutott be az illető. Nem szeretném bántani a kedves script kiddiet (azért letörném mindkét kezét, hogy ne érinthessen billentyűzetet többet), de nem praktikus saját e-mail címre küldeni a halászott jelszavakat. A cacti fórumban van egy perl script, aminek segítségével elég sokminden kideríthető a támadóról.

A cactin keresztül, mint ez már kiderülhetett sétált be. Fogta, s kihasználta a 0.8.6.j előtti verziókban található nyilvános biztonsági rést. Nálam a h volt fenn. Csomagból telepítve, testreszabva, beállítva.

Ezután körülnéztem pár nagyobb disztribució csomagjai között. A hivatalos debian stable terjesztésben (sarge) a c van, de javították benne már a hibát. Gentooban a j már testingként telepíthető. Ubuntu dapperban a h van, edgyben az i. Emberek, jó reggelt!

Aki használ cactit, az frissítsen gyorsan a j-re, s felejtse el a csomagokat!

Iratkozz fel, hogy elsőnek értesülj új bejegyzésekről:

11 responses to “cacti remote exploit”

  1. iwo Avatar
    iwo

    Dappered van?

  2. kobak Avatar

    [quote comment=”25054″]Dappered van?[/quote]

    igen, long term support-tal ugyebár…

  3. vbali Avatar

    Megnéztem a milw0rm-os exploitot és ráfuttattam a cactis szerveremre egy ‘ls’-t meg egy ‘cat’-ot. Ehhh, még szerencse, hogy csak LAN-on van 😀

  4. kobak Avatar

    [quote comment=”25060″]Megnéztem a milw0rm-os exploitot és ráfuttattam a cactis szerveremre egy ‘ls’-t meg egy ‘cat’-ot. Ehhh, még szerencse, hogy csak LAN-on van :D[/quote]

    Az a dologban a durva, hogy egyik disztribben sincs frissülés. Pedig mindegyikben benn van a csomag…

    Ami pedig legjobban dühít, hogy phishing oldalt tett fel valami mocsok. Ha saját magát dicsőíti, akkor még gratulálok is neki, s megveregetem a vállát. De amikor olyat csinál, amivel másoknak kárt okozhat, akkor le tudnám törni a kezét…

  5. vbali Avatar

    Nekem is felnyomták anno a linuxforge.hu-t. Szerencsére nem volt rajta semmi fontos, de akkor is bosszantott a dolog. Nálam egy Joomla sebezhetőséget használtak ki és egy statikus html indexet tettek ki a lapra (ami mellesleg még jól is nézett ki :D).
    Ez ilyenkor mindig arra ösztökél, hogy saját portálmotorral kellene hajtani az oldalt, de ameddig az nem kifizetődő addig lusta vagyok rá időt és energiát szánni!
    A kezek letörésével nem értek egyet! Én sokkal drasztikusabb dolgot művelnék az elkövetővel, de az nem tűr nyomdafestéket 😀

  6. iwo Avatar
    iwo

    LTS, mi? Lazy type support.

  7. ee Avatar
    ee

    Debianban van firssülés: http://packages.debian.org/changelogs/pool/main/c/cacti/cacti_0.8.6c-7sarge4/changelog

    Debian általában nem verziót frissít, hanem bug reportokat backportol.

    Az ubuntuban az universe-ben van csak benne. Ha jól tudom az pedig nem esik bele az ubuntu supportba, onnan csak saját felelőségre telepítsen mindenki.

  8. kobak Avatar

    [quote comment=”25103″]Debianban van firssülés: http://packages.debian.org/changelogs/pool/main/c/cacti/cacti_0.8.6c-7sarge4/changelog

    Debian általában nem verziót frissít, hanem bug reportokat backportol.

    [/quote]

    Igazad van. Csak picit bedühödtem az ubuntu miatt. Pedig anno azért váltottam ubuntura szerveren is, mert ott gyorsabb a frissítés, meg van php5.

    Ezekszerintm marad inkább a debian stable + dotdeb. :-/

  9. iwo Avatar
    iwo

    jahogy univerze….telleg, az nem esik a support ala.

  10. kobak Avatar

    [quote comment=”25139″]jahogy univerze….telleg, az nem esik a support ala.[/quote]

    igaz, csak amikor írtam, akkor picit dühös voltam mindenkire. Persze olvasom a debian security anoncement listát is, s ott is átfutottam a dolog felett. Igaz megszokásból, mert az ott írott dolgok úgyis jönnek majd apt-tal lefele. Csakhogy nem ubuntun…

    Ti legyetek okosabbak! 🙂

To respond on your own website, enter the URL of your response which should contain a link to this post’s permalink URL. Your response will then appear (possibly after moderation) on this page. Want to update or remove your response? Update or delete your post and re-enter your post’s URL again. (Find out more about Webmentions.)