[Ayuda] gethostbyname error

Lun Oct 29 15:32:20 CST 2001

> Oct 28 11:04:02 jupiter rpc.statd[414]: gethostbyname error for
> ^X÷ÿ¿^X÷ÿ¿^Y÷ÿ¿^Y÷ÿ¿^Z÷ÿ¿^Z÷ÿ¿^[÷ÿ¿^[÷ÿ¿%8x%8x%8x%8x%8x%8x%8x%8x%8x%236x%n%1
> 37x%n%10x%n%192x%n<90><90><90><90>
> <90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90><90>
> (...)
> 0>A^D^L
> <88>^A°fÍ<80>³^D°fÍ<80>³^E0À<88>A^D°fÍ<80><89>Î<88>Ã1É°?Í
> Oct 28 11:49:07 jupiter named[586]: cleaned cache of 33 RRsets
>
> Yo crei que se trataba de un posible intruso, pero en la página de Seguridad
> en Cómputo de la UNAM hay un mensaje similar preguntado esto y dicen que
> verifique que el sistema lo tenga y que el tcp-wrappers al configurarlo lo
> lea.
>
> Cheque mi sistema y solo aparece el man del gethostname, ¿Es necesario este
> programa y de ser así de donde lo bajo y como lo configuro en el
> tcp-wrappers?

¿Qué sistema corres? ¿Qué versión? Me parece que los sistemas RedHat 6.2 y
7.0 son vulnerables a un exploit desafortunadamente muy simple en
-justamente- en el servicio rpc.statd, que poca gente requiere pero casi
todos tienen corriendo.

gethostbyname es una llamada al sistema que te da la IP correspondiente a
un hostname. Por ejemplo, en Perl (tal vez no de la mejor manera posible,
pero para propósitos de demostración):

$hostname = 'www.gwolf.cx';
my @arr = gethostbyname($hostname);
my @ip = unpack('C4',$arr[4]);
print join('.', en ip);

te va a responder con 132.248.79.80, la dirección IP de www.gwolf.cx.

Bueno, ¿y para qué te mareo con esto? Simple: Lo que te hicieron fue un
clásico ejemplo de buffer overflow: Te pidieron el gethostbyname de un
hostname demasiado largo, lo cual puede haber causado un desbordamiento
interno. Ojalá no sea el caso, pero puede haber sido.

En caso de haber sido exitoso el intento, tu máquina fue comprometida. ¿El
siguiente paso? Fuertemente te sugiero reinstalarla, e instalarle todos
los parches de seguridad que han aparecido hasta hoy. Por qué instalarla?
Porque no puedes saber lo que logró hacer el atacante, en caso de haber
tenido éxito, y no podrás por tanto reconstruir el sistema a un estado
confiable. Y por qué aplicar todos los parches (probablemente unos 100MB o
más) o instalar la última versión de tu sistema operativo? Porque es la
mejor manera de mantenerte inmune. Y claro, aún así no bajes la guardia,
mantente al día con las nuevas actualizaciones que vayan apareciendo.

Saludos,

-- 

------------------------------------------------------------
Gunnar Wolf - gwolf en campus.iztacala.unam.mx - (+52)5623-1118
Desarrollo y Admon. de Sistemas en Red - FES Iztacala - UNAM
Departamento de Seguridad en Computo   -   DGSCA    -   UNAM
------------------------------------------------------------
Quidquid latine dictum sit, altum viditur.

_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx