- BEST_PEOPLE (2:5077/15.22) -------------------- BEST_PEOPLE (RU.UNIX.LINUX) -
From : Igor Kaminskiy 2:5020/400 01 Mar 00 11:19:44
Subj : DoS для inetd и как с ним бороться
-------------------------------------------------------------------------------
* Forwarded from area 'RU.UNIX.LINUX'
From: "Igor Kaminskiy" <master@jugra.wsnet.ru>
Hi All !
В общем, ситуация следующая .
По адресу :
http://neworder.box.sk/showme.php3?id=1465
лежит описание DoS-атаки для NT-вого WarFtpd
( патчики против нее для этого демона уже есть ;-}} ) ,
Соответственно - бинарник , запускаемый из
под Windows '9x/NT , лежит здесь:
http://www.ussrback.com/diewa170/diewa170.exe
а его source code :
http://www.ussrback.com/diewa170/diewa170.zip
При рассмотрении более вооруженным глазом
оказалось , что данная атака валит не только WarFtpd ,
но и обычные ftpd в Linux - пробовались на выбор
wu-ftpd , proftpd , ftpd-BSD ( BSD-шный порт ftpd под Linux ) ,
с kernel до 2.11 включительно .
Как оказалось , ftpd прибивается самим inetd с записью
в log'ах :
inetd[1069]: ftp/tcp server failing (looping), service terminated
При этом ftpd падает на срок примерно 10 минут ,
затем - поднимается ,
В log'aх остается сильномогучая запись о большом
количестве коннектов с определенного адреса , так что
сильно далеко злоумышленник не спрячется ... ;-}}
Хотя - никто ему не помешает попортить провайдеру крови .
Как с ЭТИМ бороться .
Лечится радикальной заменой inetd на xinetd .
Последний лежит на http://www.xinetd.org
Там же лежат его FAQ , rpm'ы и source .
Как ставим .
1) Из лежащих на сайте rpm'ов собирать xinetd HЕЛЬЗЯ .
Oни там - мягко говоря - КРИВЫЕ .
2) Собирать его можно и нужно из сорцов или из srpm
командой rpm --rebuild xxxx.src.rpm , а потом уже получившийся
пересобраный rpm устанавливать .
3) Далее - inetd после установки xinetd надо обязательно прибить .
4) xinetd умеет преобразовывать конфиг inetd.conf в xinetd.conf ,
но ТОЛЬКО ИДУЩИМ С HИМ perl'овым скриптом - xconv.pl ,
который после установки лежит в /usr/sbin
Дополнительный исполняемый файл itox , делающий то же самое -
неработоспособен .
Сухой остаток . Для Redhat и клонов .
Берем
ftp://ftp.freshmeat.net/pub/rpms/xinetd/xinetd-2.1.8.8p1-1.src.rpm
Делаем из него
rpm --rebuild xinetd-2.1.8.8p1-1.src.rpm
Система транслирует пргрму в rpm и ложит в
/usr/src/redhat/RPMS/i386
Оттуда ставим оба rpm'a - сам продукт и xinet-devel .
HЕ перезагружая систему запускаем просто
setup
system service
убираем галочку возле inetd
( сие можно сделать и ручками , но так - проще . ;-}} )
Далее посредством командочки
/usr/sbin/xconv.pl < /etc/inetd.conf > /etc/xinetd.conf
преобразуем inetd.conf в xinetd.conf.
Hа всякий случай смотрим его более вооруженным глазом ,
и при необходимости - правим .
Перезагружаем цомпутер и получаем
неубивабельный ftpd в Linux .
P.S. Hа решение данной проблемы меня подтолкнул
автор Black Cat Linux г-н Леонид Кантер . Cайт :
http://www.blackcatlinux.com/
Посему - ВСЕ ЛАВРЫ - его скромной персоне ...
P.P.S. "Рабочий" Linux стоит на Black Cat Linux v6.02 + fixes + ftpd -
ftpd-BSD - портированый BSD-шный . Взят с :
http://www.eleves.ens.fr:8080/home/madore/programs/#prog_ftpd-BSD
-------------
C уважением:
Игорь Каминский (Barbarossa)
E-Mail: master@jugra.wsnet.ru
ICQ: 1955144
--- ifmail v.2.15dev4
* Origin: Demos online service (2:5020/400)
400 Прочтений • [DoS для inetd и как с ним бороться (inetd)] [08.05.2012] [Комментариев: 0]
Vova
