Exploit Linux, acceso root :)

Cuando Roberto me dijo «compilaste el código?, y queadaste como root?» quede bastante descolocado, claro, como linuxero siempre defendiendo al pingüino, hoy me entere de este exploit (tiene fecha de creación el día 9 de este mes).

un pequeño código c que se aprovecha de una vulnerabilidad en las versiones de kernel desde la 2.6.17 a la 2.6.24.1

por suerte en los servidores de producción que administro, todo con kernel 2.6.9 y ningún problema, pero en cualquier otro equipo que intente funciono todo a la perfección, si que protejan sus maquinas o corran en circulos con los brazos en alto.

aquí el exploit

aquí un ejemplo

[test@cesar ~]$ ./exploit
———————————–
Linux vmsplice Local Root Exploit
By qaaz
———————————–
[+] mmap: 0x0 .. 0x1000
[+] page: 0x0
[+] page: 0x20
[+] mmap: 0x4000 .. 0x5000
[+] page: 0x4000
[+] page: 0x4020
[+] mmap: 0x1000 .. 0x2000
[+] page: 0x1000
[+] mmap: 0xb7f88000 .. 0xb7fba000
[+] root
[root@cesar ~]# uname -a
Linux cesar 2.6.23.14-107.fc8 #1 SMP Mon Jan 14 21:37:30 EST 2008 i686 i686 i386 GNU/Linux
[root@cesar ~]# /etc/init.d/cups restart
Parando cups: [ OK ]
Iniciando cups: [ OK ]
[root@cesar ~]#

Como proteger?

No dejen que sus usuarios puedan ejecutar nada que no este en /usr/bin /bin /opt/ y carpetas de ese estilo, es la solución mas a la rápida que se me ocurre.

lyrc.com.ar

Para escuchar música (como muchos linux users) uso el inigualable Amarok, y descargo las letras de las canciones desde lyrc.com.ar, ya que tiene casi todas las letras de grupos que cantan en español que escucho, además de muchas otras letras que yo también añadí a la pagina, y también porque creo, viene por defecto en Amarok, pero hace algún tiempo no se me descargan las letras y tampoco puedo conectar al sitio.

Alguien sabe que puede pasar?

Volverán al aire? sera tan sólo una falla técnica?.

[16:13:20][cesar:~] host -vv lyrc.com.ar
Trying «lyrc.com.ar»
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57319
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;lyrc.com.ar. IN A

;; AUTHORITY SECTION:
lyrc.com.ar. 10082 IN SOA lyrc.com.ar. root.lyrc.com.ar. 1 604800 86400 2419200 604800

Received 70 bytes from 192.168.1.1#53 in 2 ms
Trying «lyrc.com.ar»
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46206
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;lyrc.com.ar. IN AAAA

;; AUTHORITY SECTION:
lyrc.com.ar. 10082 IN SOA lyrc.com.ar. root.lyrc.com.ar. 1 604800 86400 2419200 604800

Received 70 bytes from 192.168.1.1#53 in 2 ms
Trying «lyrc.com.ar»
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51023
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; QUESTION SECTION:
;lyrc.com.ar. IN MX

;; ANSWER SECTION:
lyrc.com.ar. 604676 IN MX 10 mailer.lyrc.com.ar.

;; AUTHORITY SECTION:
lyrc.com.ar. 604159 IN NS ns1.ew4k.com.
lyrc.com.ar. 604159 IN NS ns2.ew4k.com.

;; ADDITIONAL SECTION:
mailer.lyrc.com.ar. 604676 IN A 201.216.192.44
ns1.ew4k.com. 172737 IN A 200.69.61.194
ns2.ew4k.com. 172737 IN A 200.69.61.197

Received 144 bytes from 192.168.1.1#53 in 2 ms

Tampoco responde la ip de su mx.

Espero estén pronto al aire nuevamente.

Actualización:

La pagina ahora esta online 🙂