Kernel_Killer
November 25th, 2003, 17:18
This is a nice one. Just got it this morning.Have yet to find out if it's what took out a system.

[code:1:741085eec0]
45 78 70 6C 6F 69 74 3C 2F 66 6F 6E 74 3E 3C 2F Exploit</font></
66 6F 6E 74 3E 3C 2F 62 3E 0A 3C 62 72 3E 0A 4C font></b>.<br>.L
69 6B 65 20 6D 6F 73 74 20 63 6F 6D 6D 65 72 63 ike most commerc
69 61 6C 20 49 44 53 20 73 79 73 74 65 6D 73 2C ial IDS systems,
20 73 6E 6F 72 74 20 68 61 73 20 74 68 65 20 63 snort has the c
61 70 61 62 69 6C 69 74 79 20 6F 66 20 73 68 6F apability of sho
77 69 6E 67 0A 75 73 20 74 68 65 20 70 61 63 6B wing.us the pack
65 74 20 6C 6F 61 64 20 64 61 74 61 20 6F 66 20 et load data of
61 6C 6C 20 49 50 20 70 61 63 6B 65 74 73 2E 26 all IP packets.&
6E 62 73 70 3B 20 57 65 20 77 69 6C 6C 20 75 73 nbsp; We will us
65 20 74 68 69 73 20 63 61 70 61 62 69 6C 69 74 e this capabilit
79 0A 74 6F 20 63 6F 6E 64 75 63 74 20 61 6E 20 y.to conduct an
61 6E 61 6C 79 73 69 73 20 6F 66 20 74 68 65 20 analysis of the
65 78 70 6C 6F 69 74 2E 26 6E 62 73 70 3B 20 54 exploit.  T
68 65 20 65 78 70 6C 6F 69 74 20 69 6E 66 6F 72 he exploit infor
6D 61 74 69 6F 6E 20 77 61 73 0A 6F 62 74 61 69 mation was.obtai
6E 65 64 20 66 72 6F 6D 20 74 68 65 20 73 6E 6F ned from the sno
72 74 20 6C 6F 67 73 20 28 73 74 6F 72 65 64 20 rt logs (stored
69 6E 20 74 63 70 64 75 6D 70 20 62 69 6E 61 72 in tcpdump binar
79 20 66 6F 72 6D 61 74 29 2E 26 6E 62 73 70 3B y format). 
20 49 0A 71 75 65 72 69 65 64 20 74 68 65 20 73 I.queried the s
6E 6F 72 74 20 6C 6F 67 20 61 6E 64 20 62 65 67 nort log and beg
61 6E 20 72 65 76 69 65 77 69 6E 67 20 74 68 65 an reviewing the
20 70 61 63 6B 65 74 73 20 73 74 61 72 74 69 6E packets startin
67 20 77 68 65 6E 20 74 68 65 0A 61 74 74 61 63 g when the.attac
6B 20 77 61 73 20 6C 61 75 6E 63 68 65 64 2E 26 k was launched.&
6E 62 73 70 3B 20 49 20 64 69 64 20 6E 6F 74 20 nbsp; I did not
6C 69 6D 69 74 20 6D 79 20 69 6E 66 6F 72 6D 61 limit my informa
74 69 6F 6E 20 71 75 65 72 79 20 74 6F 20 74 68 tion query to th
65 0A 68 6F 73 74 20 36 33 2E 32 33 36 2E 38 31 e.host 63.236.81
2E 31 33 2C 20 61 73 20 74 68 65 20 61 74 74 61 .13, as the atta
63 6B 65 72 20 6D 61 79 20 68 61 76 65 20 75 73 cker may have us
65 64 20 6F 74 68 65 72 20 73 79 73 74 65 6D 73 ed other systems
2E 26 6E 62 73 70 3B 20 54 68 69 73 0A 69 73 20 .  This.is
69 6E 20 66 61 63 74 20 74 68 65 20 63 61 73 65 in fact the case
2C 20 61 73 20 6F 75 72 20 62 6C 61 63 6B 2D 68 , as our black-h
61 74 20 75 73 65 64 20 61 74 20 6C 65 61 73 74 at used at least
20 74 68 72 65 65 20 64 69 66 66 65 72 65 6E 74 three different
20 73 79 73 74 65 6D 73 0A 74 6F 20 72 75 6E 20 systems.to run
74 68 65 20 65 78 70 6C 6F 69 74 2E 20 54 68 65 the exploit. The
20 67 6F 61 6C 20 6F 66 20 74 68 65 20 65 78 70 goal of the exp
6C 6F 69 74 20 69 73 20 74 6F 20 67 61 69 6E 20 loit is to gain
61 20 72 6F 6F 74 20 73 68 65 6C 6C 20 6F 6E 0A a root shell on.
74 68 65 20 72 65 6D 6F 74 65 20 73 79 73 74 65 the remote syste
6D 2E 26 6E 62 73 70 3B 20 4F 6E 63 65 20 74 68 m.  Once th
65 20 62 6C 61 63 6B 2D 68 61 74 20 67 61 69 6E e black-hat gain
73 20 61 20 72 6F 6F 74 20 73 68 65 6C 6C 2C 20 s a root shell,
74 68 65 79 20 63 61 6E 0A 72 75 6E 20 61 6E 79 they can.run any
20 63 6F 6D 6D 61 6E 64 20 61 73 20 72 6F 6F 74 command as root
2E 26 6E 62 73 70 3B 20 4E 6F 72 6D 61 6C 6C 79 .  Normally
20 61 6E 20 61 63 63 6F 75 6E 74 20 69 73 20 70 an account is p
6C 61 63 65 64 20 69 6E 20 74 68 65 20 2F 65 74 laced in the /et
63 2F 70 61 73 73 77 64 0A 61 6E 64 20 2F 65 74 c/passwd.and /et
63 2F 73 68 61 64 6F 77 20 66 69 6C 65 2E 26 6E c/shadow file.&n
62 73 70 3B 20 59 6F 75 20 63 61 6E 20 66 69 6E bsp; You can fin
64 20 62 6F 74 68 20 74 68 65 20 65 78 70 6C 6F d both the explo
69 74 20 61 6E 64 20 72 65 6D 6F 74 65 20 63 6F it and remote co
6D 6D 61 6E 64 73 0A 65 78 65 63 75 74 65 64 20 mmands.executed
69 6E 20 74 68 65 20 3C 61 20 68 72 65 66 3D 22 in the <a href="
2E 2E 2F 66 6F 72 65 6E 73 69 63 73 2F 65 78 70 ../forensics/exp
6C 6F 69 74 2E 68 74 6D 6C 22 3E 64 65 74 61 69 loit.html">detai
6C 65 64 0A 66 6F 72 65 6E 73 69 63 20 61 6E 61 led.forensic ana
6C 79 73 69 73 3C 2F 61 3E 2E 26 6E 62 73 70 3B lysis</a>. 
20 4F 6E 63 65 20 74 68 65 20 65 78 70 6C 6F 69 Once the exploi
74 20 77 61 73 20 72 61 6E 20 61 6E 64 20 61 20 t was ran and a
72 6F 6F 74 20 73 68 65 6C 6C 0A 6F 62 74 61 69 root shell.obtai
6E 65 64 2C 20 74 68 65 20 66 6F 6C 6C 6F 77 69 ned, the followi
6E 67 20 63 6F 6D 6D 61 6E 64 73 20 77 65 72 65 ng commands were
20 72 61 6E 20 61 73 20 72 6F 6F 74 2E 0A 0A 3C ran as root...<
70 3E 0A 3C 66 6F 6E 74 20 66 61 63 65 3D 22 43 p>.<font face="C
6F 75 72 69 65 72 20 4E 65 77 2C 43 6F 75 72 69 ourier New,Couri
65 72 22 3E 3C 66 6F 6E 74 20 63 6F 6C 6F 72 3D er"><font color=
22 23 30 30 30 30 30 30 22 3E 3C 66 6F 6E 74 20 "#000000"><font
73 69 7A 65 3D 2D 31 3E 0A 63 64 20 2F 3B 20 75 size=-1>.cd /; u
6E 61 6D 65 20 2D 61 3B 20 70 77 64 3B 20 69 64 name -a; pwd; id
3B 3C 62 72 3E 0A 4C 69 6E 75 78 20 61 70 6F 6C ;<br>.Linux apol
6C 6F 2E 75 69 63 6D 62 61 2E 65 64 75 20 32 2E lo.uicmba.edu 2.
32 2E 35 2D 31 35 20 23 31 20 4D 6F 6E 20 41 70 2.5-15 #1 Mon Ap
72 20 31 39 20 32 32 3A 32 31 3A 30 39 20 45 44 r 19 22:21:09 ED
54 20 31 39 39 39 20 69 35 38 36 20 75 6E 6B 6E T 1999 i586 unkn
6F 77 6E 3C 62 72 3E 0A 2F 3C 62 72 3E 0A 75 69 own<br>./<br>.ui
64 3D 30 28 72 6F 6F 74 29 20 67 69 64 3D 30 28 d=0(root) gid=0(
72 6F 6F 74 29 20 67 72 6F 75 70 73 3D 30 28 72 root) groups=0(r
6F 6F 74 29 2C 31 28 62 69 6E 29 2C 32 28 64 61 oot),1(bin),2(da
65 6D 6F 6E 29 2C 33 28 73 79 73 29 2C 34 28 61 emon),3(sys),4(a
64 6D 29 2C 36 28 64 69 73 6B 29 2C 31 30 28 77 dm),6(disk),10(w
68 65 65 6C 29 3C 62 72 3E 0A 65 63 68 6F 20 22 heel)<br>.echo "
74 77 69 6E 3A 3A 35 30 36 3A 35 30 36 3A 3A 2F twin::506:506::/
68 6F 6D 65 2F 74 77 69 6E 3A 2F 62 69 6E 2F 62 home/twin:/bin/b
61 73 68 22 20 3E 3E 20 2F 65 74 63 2F 70 61 73 ash" >> /etc/pas



[/code:1:741085eec0]

bsdjunkie
November 25th, 2003, 20:07
LOL, where you find that?

Kernel_Killer
November 25th, 2003, 20:34
Found it in Sguil. Never been to the site at all. I do know about the site itself though. Group of hackers that implant code in your systems to mark their spot of intrusion.


BTW: Source Port: 80
Dest Port: 4359