/tmp/getuid.so . Злізай, приїхали ...

[anatolijd]

Досіджував тут проблему чого постгрес сервер відмовлявся стартувати, і в результаті надибав таке:

Код: [Вибрати]

[root@s2 root]# /etc/init.d/postgresql start
Starting postgresql service:  [ FAILED ]

[root@s2 root]# su -l postgres -s /bin/ sh -c /usr/bin/pg_ctl  -D /var/lib/pgsql/data -p /usr/bin/postmaster start
/usr/bin/postmaster: real and effective user ids must match
postmaster successfully started

[root@s2 root]# ldd /usr/bin/postmaster | head -3
        /tmp/getuid.so => /tmp/getuid.so (0x007bf000)
        libpam.so.0 => /lib/libpam.so.0 (0x00d4f000)
        libssl.so.4 => /lib/libssl.so.4 (0x00fb8000)



Код: [Вибрати]

[root@s2 root]# ls -la /tmp | egrep -v (sess_|AA)
total 916
drwxrwxrwt    5 root     root       589824 Sep 10 11:03 .
drwxr-xr-x   20 root     root         4096 Sep  9 10:44 ..
-rw-------    1 root     root           56 Sep 10 11:03 ClamAVBusy.lock
-rw-r-----    1 clamav   clamav      89375 Sep 10 10:08 ClamAV.update.log
-rw-rw-r--    1 admin    admin          24 Sep  5 18:50 getuid.c
-rwxrwxr-x    1 admin    admin        5456 Sep  5 18:50 getuid.so
-rw-rw-r--    1 root     admin        1074 Sep  5 18:50 ninjitsu
drwxr-xr-x    3 root     root         4096 Sep  8 21:51 screens

[root@s2 root]# cat /tmp/getuid.c
int getuid() {return 0;}

[root@s2 root]# cat /etc/ld.so.preload
/tmp/getuid.so

[root@s2 root]# cat /etc/ld.so.conf
/usr/lib/mysql
/usr/X11R6/lib

кожний бінарник тепер залінкований до /tmp/getuid.so , якщо просто тупо витру той сошнік то мабуть покладу систему.
Перша думка як його позбутися - забрати  зайве з /etc/ld.so.preload  і ldconfig .
Є якісь варіанти, думки?

ЗІ: Сервер не мій, я просто розмістив об'яву, (Про OS reload  можна не нагадувати).



Знайшов експлойт який показує як це може бути використане
http://www.securiteam.com/exploits/5BP030AFPA.html

[PAL]

Дуже схоже на rootkit

Бінарники напряму усі не злінковані/ Підмінено беякі базові ліби та деякі утиліти

Треба перевірити цілістність glibc, шелів, та системних утиліт (на кшталт ps, top, kill та інш)

[Володимир Лісівка]

Дуже схоже на rootkit

Абсолютно не схоже на rootkit - дуже грязно, і ефект від того всьго такий, що кожна програма думає що вона запущена під root-ом (uid==0).