[Ilugc] [off-topic]Security alert

  • From: smohan@xxxxxxxx (S Mohan)
  • Date: Thu, 11 Jul 2002 17:06:17 +0530

A bunch of guys coming in from Romania (81.18.x.x) have been trying to
deploy rootkits into machines. Chaps have a host called
rootkits.netfirms.com and barty.netfirms.com and they deploy custom ssh
clients and email uis/pwds to massrootz@xxxxxxxxx.

Looks like hack is thro' buffer overflow on openssh or DNS. Openssh3.4
is the way to go.

What happens?
These guys set your mails to low priority and spawn sendmail processes
with oem switch and specify root as sender thro' -F switch. Files
affected are ps, ifconfig, inetd, tcpd, top etc which hide their
processes. Their own ssh is running as a process called xsf (clever as
can be mistaken for xfs) Their files sit in /var/spool/at/spool/wu3. End
objective - send out porn mailers using servers that do not belong to
them.

I've been trailing them. If any one has some more news, let me know.

Mohan


From Ravi Rao <mail@xxxxxxxxxxx>  Thu Jul 11 12:20:59 2002
From: Ravi Rao <mail@xxxxxxxxxxx> (Ravi Rao)
Date: Thu, 11 Jul 2002 05:20:59 -0700
Subject: [Ilugc] [off-topic]Security alert
In-Reply-To: <000001c228cf$30458940$6300a8c0@smohan>
References: <000001c228cf$30458940$6300a8c0@smohan>
Message-ID: <20020711122059.GB3948@xxxxxxxxxxx>

S Mohan <smohan@xxxxxxxx> chittered thus:

| A bunch of guys coming in from Romania (81.18.x.x) have been trying to
| deploy rootkits into machines. Chaps have a host called
| rootkits.netfirms.com and barty.netfirms.com and they deploy custom ssh
| clients and email uis/pwds to massrootz@xxxxxxxxx.

Dude, this mail will be of more relevance to these lists, I think:

- cyberlaw-india@xxxxxxxxxxxxxxx
- india-gii@xxxxxxxxxxxxxx
- cpunks-india@xxxxxxxxxxxxxxx

| objective - send out porn mailers using servers that do not belong to
| them.

The pr0n industry owns us all!

        --r.
-- 
"Indifference will certainly be the downfall of mankind, but who cares?"
   ________________________________________________________________
 / Larval Geek       http://www.ravirao.net/       mail@xxxxxxxxxxx \
| GPG:0xF1E7DE29  CD17 7E7B 67A4 EEC1 FF0A  2757 358A 4A88 F1E7 DE29 |

Other related posts:

  • » [Ilugc] [off-topic]Security alert - S Mohan