hayalci'nin maceraları

Uzun bir süredir kullanıcı parolarını ele geçirip sistemden sisteme SSH ile atlayan bir takım art niyetli ve/veya meraklı kişiyi takip ediyorduk. Onlar parola ele geçirdikçe ilgili kullanıcıların hesaplarını kilitleyi parolarını değiştirmelerini sağlıyorduk. Ara sıra oynadığımız bu köşe kapmaca fazla sık olmadığı için elle tutulur çok fazla önlem almamıştık. Bu son bir haftalık bir süre içinde, ele geçirilen kullanıcı hesaplarından girilip, yerel açıklardan faydalanarak pek çok makinada root olunduğunu fark ettik. Root olduktan sonra saldırganımız, ssh sunucusunu ve istemcisini kendi getirdiği sürümlerle değiştiriyor; aynı makinaya bağlanan başka kullanıcıların parolalarını topluyor. ssh istemcisini değiştirerek de, bu ele geçmiş makina üzerinden yapılan diğer ssh bağlantılarındaki parolaları da kaydediyor. Olayın çapı oldukça geniş, ele geçirilen makina üzerinden geçerek bağlantı kurulan tüm diğer makinalar da ele geçirilmiş. Bunun içinde sunucular, asistanların ve hocaların ofis...

Eğer Debian GNU/Linux dağıtımını ya da Ubuntu gibi bir Debian türevini kullanıyorsanız farklı paket depolarını eklemiş olabilirsiniz. Örneğin Debian stable için yeni sürüm paketleri sağlayan backports.org olabilir. Ancak bir paket kuracağınız zaman hangi depodaki sürümün kurulacağını anlamanın görünür bir yolu yok. apt-get, aptitude veya synaptic'te bunu göremiyorsunuz... diye biliyordum. Aslında varmış bir yolu apt-cache policy PAKET_ADI . Örneğin debian üzerinde backports.org deposundan kurulan puppet böyle görünüyor; # apt-cache policy puppet puppet: Installed: 0.24.4-8~bpo40+1 Candidate: 0.24.4-8~bpo40+1 Package pin: 0.24.4-8~bpo40+1 Version table: *** 0.24.4-8~bpo40+1 999 1 http://www.backports.org etch-backports/main Packages 100 /var/lib/dpkg/status 0.20.1-1 999 500 ftp://ftp.metu.edu.tr etch/main Packages Ayrıca bir ek, backports.org deposundan paket kurmak için sayfasındaki talimatları düzgün okumanız gerekiyor, sonra saç...